O Google lançou correções para lidar com uma falha de segurança de alta gravidade em seu navegador Chrome que, segundo a empresa, foi explorada na natureza. A vulnerabilidade, identificada como CVE-2024-5274, está relacionada a um bug de confusão de tipo no motor V8 JavaScript e WebAssembly. Ela foi relatada por Clément Lecigne, do Grupo de Análise de Ameaças do Google, e Brendon Tiszka, da Segurança do Chrome, em maio de 2024.

As vulnerabilidades de confusão de tipo ocorrem quando um programa tenta acessar um recurso com um tipo incompatível. Isso pode ter consequências sérias, pois permite que atores maliciosos realizem acesso de memória fora dos limites, causem uma falha e executem código arbitrário.

Esta é a quarta zero-day que o Google corrigiu desde o início do mês, após as correções do CVE-2024-4671, CVE-2024-4761 e CVE-2024-4947.

A gigante da tecnologia não divulgou detalhes técnicos adicionais sobre a falha, mas reconheceu que “tem conhecimento de que existe um exploit para o CVE-2024-5274 na natureza”. Não está claro se a falha é uma ferramenta de bypass para o CVE-2024-4947, que também é um bug de confusão de tipo no V8.

Com a última correção, o Google resolveu um total de oito zero-days no Chrome desde o início do ano. Recomenda-se que os usuários atualizem para a versão 125.0.6422.112/.113 para o Windows e macOS, e para a versão 125.0.6422.112 para o Linux para mitigar possíveis ameaças. Os usuários de navegadores baseados no Chromium, como Microsoft Edge, Brave, Opera e Vivaldi, também são aconselhados a aplicar as correções conforme forem disponibilizadas.