Se você utiliza o Chrome, pare agora o que está fazendo e atualize imediatamente seu navegador.
Desde a última terça-feira (3), o Google liberou atualizações que visam corrigir cerca de dez erros no browser, incluindo duas vulnerabilidades do tipo “zero-day” — ou seja, que já estão sendo exploradas por cibercriminosos.
É bem provável que o seu Chrome já tenha se atualizado sozinho, mas é bom checar se ele roda a partir das versões 86.0.4240.183, no desktop, e 86.0.4240.185, no Android.
Uma das falhas, de nome CVE-2020-16009, foi identificada pelo Grupo de Análises de Ameaças (TAG), uma equipe de segurança do Google especializada na detecção de possíveis riscos aos serviços da empresa. Não foram revelados muitos detalhes sobre a vulnerabilidade; sabe-se apenas que ela atingia a versão desktop do Chrome, mais especificamente o motor V8 do navegador, que é responsável pela renderização de JavaScript.
Ainda de acordo com o Google, esse bug era utilizado em conjunto com uma falha zero-day voltada para usuários de Windows: enquanto o navegador executada um código malicioso, o sistema operacional era usado para liberar permissões de administrador para que o bug pudesse atuar na plataforma. O Google já fez sua parte na correção do problema, enquanto a Microsoft promete uma atualização para o próximo dia 10 de novembro.
Poucas horas após ter anunciado o fim dessa brecha, o Google confirmou mais uma vulnerabilidade zero-day que afetava o Chrome. Esta, por sua vez, era destinada para a versão do navegador para Android. Nomeada CVE-2020-16010, a falha já foi corrigida.
Em ambos os casos, o Google não especificou como as falhas foram exploradas, nem quem foram os alvos ou quais versões do Chrome em particular são as mais vulneráveis.
Esta é a terceira vez em duas semanas que o Google coloca um fim em falhas do tipo zero-day no Chrome. A primeira foi em 20 de outubro, quando a companhia lançou o patch de segurança para corrigir a brecha CVE-2020-15999, que corrompia a renderização FreeType das fontes no navegador.
