As novas atualizações do Chrome e do Firefox estão sendo distribuídas com correções para mais de 70 vulnerabilidades, incluindo bugs críticos e de alta severidade relacionados à segurança de memória, que podem potencialmente levar à execução remota de código (RCE, na sigla em inglês).
O Chrome foi atualizado para as versões 149.0.7827.155/.156 no Windows e macOS, e para a versão 149.0.7827.155 no Linux, a fim de corrigir 33 falhas de segurança, 32 das quais foram encontradas pelo Google.
Das sete falhas de severidade crítica mencionadas no comunicado do Google, seis são problemas do tipo use-after-free (uso após liberação de memória), uma falha de segurança de memória que pode ser explorada para execução remota de código.
No Chrome, essas vulnerabilidades podem levar ao escape do sandbox (ambiente isolado de execução) se combinadas com a exploração de falhas no sistema operacional ou em um processo privilegiado do navegador.
A nova versão do Chrome também corrige 26 bugs de alta severidade, incluindo oito falhas de use-after-free, além de problemas de validação insuficiente de dados, implementação inadequada, leitura fora dos limites, interface de segurança incorreta, estouro de buffer no heap (área de memória dinâmica) e uso de memória não inicializada.
O Google não menciona nenhuma dessas vulnerabilidades sendo explorada ativamente.
O Firefox 152 foi lançado no canal estável com correções para 40 vulnerabilidades, incluindo 13 bugs de alta severidade do tipo use-after-free, escalonamento de privilégios, condição de limite incorreta, escape de sandbox, compilação incorreta do JIT (compilador Just-In-Time, que gera código em tempo de execução) e segurança de memória.
Algumas das falhas de segurança de memória corrigidas podem ser potencialmente exploradas para execução arbitrária de código, alerta a Mozilla.
Na quarta-feira, a Mozilla também publicou atualizações de segurança para corrigir essas vulnerabilidades no Firefox ESR (Extended Support Release, versão de suporte estendido), no Thunderbird e no Firefox para iOS. Mais informações estão disponíveis na página de comunicados da Mozilla.
