Google corrigiu na surdina uma vulnerabilidade misteriosa do Chrome

Nesta semana, muitos usuários perceberam um flechinha verde no canto superior direito do Chrome, alertando para uma atualização. Normalmente, os updates acontecem automaticamente, quando você reinicia o navegador, ou manualmente, por meio da seção “Ajuda>Sobre o Google Chrome” — e sempre há detalhes sobre o que mudou. Desta vez, após instalar o novo patch, todo mundo ficou sem saber exatamente por que ele veio. Agora, especialistas em segurança dizem que esta seria uma correção de vulnerabilidade “de fábrica”.

O patch foi distribuído para todo mundo com o Chrome 80 e também estaria sendo enviado para o ChromeOS 80, com destino aos Chromebooks. Embora o Google não tenha dado informações sobre isso, os desbravadores de códigos entraram em ação e logo um dos pesquisadores encontrou uma menção ao bug, “Type confusion 8” — e isso seria uma referência ao moto Javascript V8.

De acordo com os programadores da firma de segurança Sophos, “um erro do tipo é aquele que você pode enganar um programa para salvar dados para uma finalidade (tipo de dados A), mas depois usá-lo posteriormente para uma finalidade diferente (tipo de dados B)”. Ou seja, a brecha permitia que malwares ou hackers pudessem manipular o armazenamento de dois recipientes com prioridades diferentes.

O “tipo B” guarda informações mais importantes e o “tipo A” serve para coisas mais triviais, então se alguma pessoa mal-intencionada explorasse esse bug, poderia fazer com que o software reescrevesse os dados do “tipo A”, que são tratados com baixo risco e proteção, com um programa malicioso, por exemplo. Em casos mais graves, a vulnerabilidade poderia até mesmo enganar as verificações de segurança do Chrome.

Bem, o Google já corrigiu o problema e, por enquanto, não falou se alguém conseguiu explorar essa falha — na verdade, a companhia nada disse a respeito.

Fonte: Android Central