Avançar para o conteúdo

Prazo do Google Chrome — Você tem 72 horas para atualizar seu navegador

 
         

Atualizado em 15 de setembro com o novo e malicioso ataque “modo quiosque” do Chrome.

Foram algumas semanas movimentadas para o Chrome, com muitas notícias para seus 3 bilhões de usuários digerirem. E então seria muito fácil esquecer que um prazo de atualização que se aproxima rapidamente está agora a apenas 72 horas de distância. O Google confirmou que os invasores exploraram ativamente duas vulnerabilidades perigosas do Chrome, e os usuários não devem permanecer desprotegidos.

A primeira dessas ameaças à memória foi tornada pública em uma atualização do Chrome em 21 de agosto, com o Google alertando que o CVE-2024-7971 estava sob exploração ativa. A surpresa desagradável foi que uma segunda vulnerabilidade de memória corrigida na mesma atualização — CVE-2024-7965 — também estava sob ataque. O Google confirmou isso uma semana depois.

ForbesPrazo final para Samsung Galaxy — 14 dias para fazer isso antes de perder seus aplicativos

A agência de segurança cibernética do governo dos EUA adicionou ambas as ameaças às suas Vulnerabilidades Exploradas Conhecidas (KEV), exigindo que todos os funcionários federais atualizem o Chrome até 16 de setembro (e 18 de setembro para a segunda correção) ou parem de usar seus navegadores. E embora os prazos da CISA sejam obrigatórios apenas para funcionários do governo, muitas organizações seguem seus mandatos. Para simplificar, há duas vulnerabilidades exploradas ativamente, atualize o Chrome agora se você não o fez desde o início de setembro.

Como explica o CISA, ele “mantém a fonte autoritativa de vulnerabilidades que foram exploradas na natureza. As organizações devem usar o catálogo KEV como uma entrada para sua estrutura de priorização de gerenciamento de vulnerabilidades.”

Houve duas atualizações do Chrome para desktop desde então, em 2 e 10 de setembro, respectivamente, ambas abordando vulnerabilidades de alta gravidade, embora nenhuma tenha sido confirmada como ativamente explorada.

Um tanto irônico, dada a sua própria procissão de zero-days — incluindo o Patch Tuesday desta semana — uma das vulnerabilidades sérias do Chrome foi descoberta e divulgada pela Microsoft, atribuindo o ataque a hackers de criptografia norte-coreanos, encadeando a vulnerabilidade do Chrome a um zero-day do Windows (também corrigido).

A Microsoft sugeriu isso como um motivo para os usuários mudarem do Chrome para o Edge, aconselhando as organizações a “incentivar os usuários a usar o Microsoft Edge e outros navegadores da web que suportam o Microsoft Defender SmartScreen, que identifica e bloqueia sites maliciosos, incluindo sites de phishing, sites de golpes e sites que hospedam malware”.

ForbesNovo aviso da Google Play Store: você instalou esses 50 aplicativos “perigosos”?

Embora eu não recomende isso, o aviso da Microsoft de que as iscas de phishing do Chrome precisam ser interrompidas na fonte é crítico. E o Google está fazendo seus próprios movimentos para fazer exatamente isso. O Google garantiu esta semana que seu “recurso de Verificação de Segurança reformulado agora será executado automaticamente em segundo plano no Chrome, tomando medidas mais proativas para mantê-lo seguro. Ele também informará sobre as ações que realiza, incluindo revogar permissões de sites que você não visita mais, sinalizar notificações potencialmente indesejadas e muito mais”.

 
         

A Microsoft acaba de lançar seu mais recente podcast Microsoft Threat Intelligence, que investiga a natureza da ameaça norte-coreana que estava por trás da divulgação do CVE-2024-7971, lançando alguma luz sobre a “natureza surpreendente das recentes cadeias de ataque envolvendo vulnerabilidade no mecanismo Chromium”.

O Chrome recebe muitas críticas — o lado negativo da dominação do mercado — mas merece crédito por suas constantes melhorias; embora você tenha que ignorar a publicidade subjacente e a coleta de dados por cookies. Isso está fazendo a diferença, como uma troca desconcertante no X esta semana ilustrou. A repressão do Google aos infostealers que exploram as fraquezas do Chrome está começando a trancar a porta do estábulo. Embora a troca mostre que o outro lado claramente pretende encontrar novas maneiras de passar.

Embora os dados mais recentes sobre participação de mercado de navegadores em todo o mundo mostrem que o Edge continua a aumentar sua base de usuários, é um crescimento excepcionalmente lento; o Statcounter relata um aumento estatisticamente irrelevante de 13,75% em julho para 13,78% em agosto deste ano, embora o crescimento anual seja mais encorajador, com o Edge subindo de 11,15% no ano passado.

Atualizar o Chrome para a versão mais recente resolverá os dois zero-days explorados, bem como tudo corrigido desde então. Como sempre, verifique se a atualização foi baixada e reinicie seu navegador para garantir que ela seja instalada. Se você fez a troca para o Edge, precisa fazer exatamente o mesmo — as ameaças ativamente exploradas impactam ambos os navegadores.

Às vezes, as ameaças mais perigosas se escondem à vista de todos e podem atacar mesmo quando você fez a coisa certa e atualizou. Esse é certamente o caso de um novo aviso para usuários do Chrome, com um novo ataque desonesto direcionado que depende de frustrar você a fazer algo que você sabe que não deveria — o que piora a situação.

Conforme captado por Computador bipandoesse novo ataque — divulgado pela primeira vez pela OALABS Research — é “uma nova técnica usada por ladrões para forçar as vítimas a inserir credenciais em um navegador, permitindo que elas sejam roubadas do armazenamento de credenciais do navegador usando malware de ladrão tradicional”.

ForbesSamsung atualiza milhões de telefones Galaxy para impedir que os usuários os abandonem

Os pesquisadores explicam que isso abre a porta para o malware StealC, com a campanha projetada especificamente para roubar credenciais de conta do Google. O ataque funciona enganando o navegador no que é chamado de “modo quiosque”, antes de “navegar para a página de login do serviço alvo, geralmente o Google”. Este modo quiosque é uma visualização da web em tela cheia, e o ataque impede a saída ou até mesmo a saída da tela cheia.

“Essa tática irrita a vítima para que ela insira suas credenciais em uma tentativa de fechar a janela. Uma vez que as credenciais são inseridas, elas são armazenadas no armazenamento de credenciais do navegador em disco e podem ser roubadas usando malware stealer, que é implantado junto com o credential flusher.”

Como Computador bipando explica, porque as teclas usuais foram desabilitadas, “tente outras combinações de teclas de atalho como 'Alt + F4', 'Ctrl + Shift + Esc', 'Ctrl + Alt + Delete' e 'Alt + Tab.'” Se isso não funcionar retornando o foco para sua área de trabalho, “Pressionar 'Win Key + R' deve abrir o prompt de comando do Windows. Digite 'cmd' e então feche o Chrome com 'taskkill /IM chrome.exe /F.'” Ou, falhando nisso, reinicie seu PC.

Isso só mostra que você pode fazer todas as coisas certas, incluindo atualizar o mais rápido possível, e ainda há uma campanha de engenharia social que está vindo para seus dados. Se você fazer Caso você seja vítima disso ou de algo semelhante, lembre-se de executar uma verificação antivírus atualizada no seu PC antes de continuar a usá-lo normalmente.

 
         

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *