Falha grave relacionada ao WebRTC (componente para chamadas de áudio e vídeo), fez Google liberar atualização inesperada do Chrome para Windows

De repente, o Google lança uma atualização do Chrome que não estava prevista. Quando isso acontece, a causa costuma ser uma vulnerabilidade. É o caso aqui. Nesta semana, a companhia liberou o Chrome 103.0.5060.114 para Windows. Trata-se de um esforço para corrigir uma falha que pode ser explorada quando o usuário participa de chamadas de vídeo via navegador.

Esse é um problema de segurança do tipo zero-day, ou seja, que foi descoberto recentemente e, por isso, pode ser explorado antes de os desenvolvedores disponibilizarem uma correção. Daí a urgência para a nova versão do Chrome ser liberada.

Outra razão para a pressa está no “potencial de destruição”. Identificada como CVE-2022-2294, a falha dá abertura para uma série de ações maliciosas, como execução de código externo e desativação de ferramentas de segurança.

O Google ainda não deu detalhes sobre como o problema se manifesta ou se vítimas foram identificadas. A própria companhia explica que essa limitação nas informações visa evitar que a falha seja explorada antes de a atualização do navegador chegar a um grande número de máquinas.

A vulnerabilidade foi descrita, porém, como um “heap buffer overflow no WebRTC”. Trata-se, portanto, de um estouro de buffer, problema que ocorre quando um software ultrapassa o limite de memória reservada a ele.

Por sua vez, o WebRTC é uma API que permite a um navegador de internet executar chamadas de voz ou vídeo, sem que extensões tenham que ser instaladas para isso.

Um estouro de buffer envolvendo o WebRTC nos faz deduzir que o PC pode ser alvo de uma ação maliciosa quando o usuário estiver realizando uma reunião online via Chrome, portanto.

Como evitar o problema?

Obviamente, atualizando o Chrome para a versão 103.0.5060.114. Normalmente, isso é feito de modo automático. Mas, para ter certeza de que a atualização foi instalada, basta abrir o menu do navegador, ir em “Ajuda” e clicar em “Sobre o Google Chrome”.

Se a atualização não puder ser instalada imediatamente — isso pode acontecer em máquinas de uso corporativo, por exemplo —, a orientação é a de não usar o Chrome para chamadas de vídeo, temporariamente.

Vale destacar que a atualização também corrige outras duas vulnerabilidades. Uma é identificada como CVE-2022-2295 e envolve o V8 (motor de JavaScript). A outra é a falha CVE-2022-2296 e tem relação com o Chrome OS Shell.

Fonte: Tecnoblog