Google lançou correções para resolver uma falha de segurança de alta gravidade em seu navegador Chrome que foi explorada na natureza.

A vulnerabilidade, identificada pelo número CVE-2024-5274, está relacionada a um bug de confusão de tipo no mecanismo V8 JavaScript e WebAssembly. Foi relatada por Clément Lecigne, do Grupo de Análise de Ameaças do Google, e Brendon Tiszka, da Segurança do Chrome, em 20 de maio de 2024.

Vulnerabilidades de confusão de tipo ocorrem quando um programa tenta acessar um recurso com um tipo incompatível. Pode ter sérias consequências, pois permite que atores de ameaças realizem acesso à memória fora dos limites, causem uma falha e executem código arbitrário.

O desenvolvimento marca o quarto zero-day que o Google corrigiu desde o início do mês, após o CVE-2024-4671, CVE-2024-4761 e CVE-2024-4947.

A gigante da tecnologia não divulgou detalhes técnicos adicionais sobre a falha, mas reconheceu que “tem conhecimento de que existe um exploit para o CVE-2024-5274 na natureza.” Não está claro se a falha é uma forma de burlar a correção para CVE-2024-4947, que também é um bug de confusão de tipo no V8.

Com a última correção, o Google resolveu um total de oito zero-days no Chrome nos últimos cinco meses.

Recomenda-se que os usuários atualizem para a versão 125.0.6422.112/.113 para Windows e macOS, e a versão 125.0.6422.112 para Linux para mitigar possíveis ameaças.

Os usuários de navegadores baseados em Chromium, como Microsoft Edge, Brave, Opera e Vivaldi, também são aconselhados a aplicar as correções assim que estiverem disponíveis.