Google lança atualização no Chrome que corrige brecha grave explorada por hackers

O Google corrigiu 14 falhas de segurança em uma nova atualização lançada para o navegador Chrome. Uma das vulnerabilidades já estava sendo explorada por hackers.

A atualização de software é uma medida importante para imunizar o sistema contra vários ataques. Quando uma falha é explorada antes de ser corrigida, ela é chamada de "dia zero".

O termo é uma alusão ao fato de que usuários têm zero dias para instalar a atualização e se proteger – ao contrário de falhas comuns, que são exploradas só após a disponibilidade da correção.

A nova versão (91.0.4472.101) pode ser instalada com um acesso ao menu "Ajuda > Sobre o Google Chrome". Para quem não acessar esta tela, a atualização deve ser instalada automaticamente nos próximos dias.

O lançamento de atualizações periódicas para o navegador é normal, inclusive para eliminar brechas de segurança. O que tem chamado atenção é a frequência de correções para falhas que já estavam em uso pelos hackers.

É a sexta vez neste ano que o Google precisa corrigir uma falha "dia zero" no navegador.

Na prática, o navegador tem estado quase sempre um passo atrás dos atacantes mais sofisticados, diminuindo as chances de defesa das vítimas desses ataques.

Isso não significa que o navegador seja inseguro, mas é um sinal claro de que invasores estão de olho em deslizes na programação do software para usar vulnerabilidades em seus ataques.

Com esse tipo de brecha, o hacker só precisa convencer a vítima a visitar um site controlado por ele. Outra possibilidade é invadir um site que será visitado pela vítima (como uma página de notícias locais da cidade do alvo) e aguardar para que o código entre no sistema após o acesso.

Felizmente, esses ataques mais sofisticados raramente são lançados contra muitos usuários. Para evitar que as invasões sejam descobertas, os responsáveis limitam os alvos e atingem alguns poucos grupos.

De acordo com publicações no Twitter de Shane Huntley, diretor do time de análise de ameaças do Google, a falha do Chrome foi explorada pelo mesmo grupo que se aproveitou de uma brecha dia zero no Windows corrigida pela Microsoft na terça-feira (8).

Huntley não informou quem foram os alvos da operação, mas revelou que os indícios sugerem o envolvimento de um serviço comercial prestado para algum governo.

"Fico contente que estamos melhorando a detecção dos ataques e pelas parcerias que temos para corrigir essas vulnerabilidades, mas me preocupa a quantidade que estamos descobrindo regularmente e o papel de prestadores de serviços comerciais", tuitou Huntley.

Por "prestadores comerciais", Huntley se refere a empresas que vendem serviços de espionagem digital para entidades governamentais. Muitas vezes, esses serviços são acompanhados de programas de ataque armados com brechas inéditas.

Algumas dessas empresas podem adquirir informações técnicas sobre brechas no mercado paralelo, "concorrendo" com programas de recompensa por falhas que remuneram especialistas por comunicar problemas diretamente aos desenvolvedores do software.

Entre as 14 falhas corrigidas pelo Google nesta atualização do Chrome, 10 foram comunicadas à empresa por especialistas que não fazem parte da equipe do Chrome. Destas, duas já foram recompensadas – uma com US$ 25 mil e outra com US$ 20 mil.