Google emite atualização urgente do Chrome para corrigir vulnerabilidade de dia zero explorada ativamente

O Google lançou na sexta-feira uma atualização de segurança fora de banda para resolver uma vulnerabilidade de alta gravidade em seu navegador Chrome que, segundo ele, está sendo ativamente explorada na natureza.

Rastreada como CVE-2022-1096 , a falha de dia zero está relacionada a uma vulnerabilidade de confusão de tipos no mecanismo JavaScript V8. Um pesquisador anônimo foi creditado por relatar o bug em 23 de março de 2022.

Erros de confusão de tipo, que surgem quando um recurso (por exemplo, uma variável ou um objeto) é acessado usando um tipo incompatível com o que foi inicializado originalmente, podem ter sérias consequências em linguagens que não são seguras para memória como C e C++, permitindo uma ator para executar o acesso à memória fora dos limites.

“Quando um buffer de memória é acessado usando o tipo errado, ele pode ler ou gravar memória fora dos limites do buffer, se o buffer alocado for menor que o tipo que o código está tentando acessar, levando a uma falha e possivelmente ao código execução”, explica a Common Weakness Enumeration (CWE) do MITRE .

A gigante da tecnologia reconheceu que “está ciente de que existe uma exploração para CVE-2022-1096”, mas não compartilhou detalhes adicionais para evitar mais exploração e até que a maioria dos usuários seja atualizada com uma correção.

CVE-2022-1096 é a segunda vulnerabilidade de dia zero abordada pelo Google no Chrome desde o início do ano, sendo a primeira a CVE-2022-0609 , uma vulnerabilidade use-after-free no componente Animation que foi corrigida em 14 de fevereiro , 2022.

No início desta semana, o Grupo de Análise de Ameaças (TAG) do Google divulgou detalhes de uma campanha dupla realizada por grupos de estados-nação norte-coreanos que armaram a falha para atacar organizações sediadas nos EUA, abrangendo mídia de notícias, TI, criptomoedas e indústrias de fintech.

Os usuários do Google Chrome são altamente recomendados para atualizar para a versão mais recente 99.0.4844.84 para Windows, Mac e Linux para mitigar possíveis ameaças. Os usuários de navegadores baseados no Chromium, como Microsoft Edge, Opera e Vivaldi, também são aconselhados a aplicar as correções à medida que estiverem disponíveis.

Fonte: The Hacker News

Google Chrome ganha atualização de emergência para fechar brecha

Shutterstock

O Google lançou nesta segunda-feira (14) uma nova e importante atualização de segurança para o navegador Google Chrome. O download deixa o navegador na versão 98.0.4758.102 e é válido para as versões Windows, Mac e Linux.

Segundo a própria empresa, o motivo é corrigir uma vulnerabilidade de dia zero que foi identificada por um dos membros do Threat Analysis Group, a equipe de caçadores de bugs e brechas de segurança que trabalha de forma paralela à empresa.

O erro gerado por essa vulnerabilidade, batizada de CVE-2022-0609, permite a execução de códigos remotos em computadores, o que pode levar a diferentes consequências, desde transformá-lo em uma botnet até o roubo de credenciais de acesso.

Caso grave

Segundo o Bleeping Computer, a empresa confirmou que detectou ataques que se aproveitaram dessa brecha, mas não detalhou exatamente o que foi descoberto. Novas informações podem ser liberadas depois que a maior parte dos usuários estiver devidamente protegido contra a ameaça.

Por isso, a Google recomenda que você atualize o seu Google Chrome ou, se o processo estiver automatizado, ao menos confira nas configurações do navegador se ele está de fato na versão mais recente do programa.

Fonte: Tecmundo

Microsoft Edge sinaliza navegador rival Firefox como malware

A acirrada disputa pelo mercado de navegadores ganhou um novo capítulo com a descoberta de que a Microsoft está impedindo a instalação de um programa concorrente. Segundo o site Techdows, o arquivo Firefox.exe baixado do próprio site da Mozilla não pode ser executado pelo usuário, sendo bloqueado pelo Microsoft Edge porque “poderia prejudicar o seu dispositivo”.

Uma captura de tela que mostra o momento em que o arquivo é bloqueado pelo sistema.

Diversos usuários no Reddit também confirmaram o problema, mas nem todas as tentativas de reproduzir o erro foram bem sucedidas, o que pode significar que o caso é na verdade um bug, um falso positivo ou algo que já foi corrigido pela própria Microsoft.

De acordo com os relatos, é possível instalar normalmente o Firefox a partir do Edge ao desabilitar o Microsoft Defender SmartScreen, ou então fazer um caminho mais longo baixando primeiro um rival como o Google Chrome.

O SmartScreen é um recurso da plataforma de segurança que empresa que monitora downloads e sinaliza possíveis ameaças — e desabilitá-lo não é recomendado nem mesmo nesses casos.

Fonte: Techdows e TECMUNDO

Google Chrome 90 já está disponível e usa HTTPS como padrão em vez de HTTP

Nova versão também traz correções para 37 falhas de segurança

A versão estável do navegador Google Chrome 90 já está disponível para download e além de correções para 37 falhas de segurança, esta versão traz novidades como o uso do protocolo HTTPS em vez do HTTP como o padrão para navegação na Web e o codec de vídeo AV1 para melhorar o desempenho em videoconferências usando o navegador.

Com o lançamento do Google Chrome 90, qualquer URL digitada na barra de endereços sem o protocolo especificado (como http://www.exemplo.com) agora utilizará o protocolo HTTPS como padrão em vez de HTTP. A Google menciona que o objetivo da mudança é melhorar a segurança do usuário enquanto ele navega na Web e também deve acelerar a navegação, já que o navegador não precisará mais perder tempo redirecionando de HTTP para HTTPS.

É importante destacar que isso não se aplica a endereços IP digitados na barra de endereços, certos tipos de domínio e nomes de host reservados como “teste/” ou “localhost/”. Neste caso o navegador continuará usando HTTP como protocolo.

O Google Chrome 90 também inclui proteções adicionais contra ataques do tipo NAT Slipstreaming. Neste caso ele bloqueará conexões FTP, HTTP e HTTPS que utilizam a porta 554. Para quem não sabe, ataques do tipo NAT Slipstreaming tiram proveito do recurso Application Level Gateway (ALG) dos roteadores para obter acesso a qualquer porta em uma rede interna. Com isso os atacantes poderiam acessar serviços normalmente protegidos pelo roteador.

Com relação às 37 falhas de segurança corrigidas pela nova versão do navegador, pelo menos seis delas são de alto risco e por isso é recomendado que os usuários atualizem para a versão 90 o quanto antes. Algumas das falhas corrigidas haviam sido exploradas na edição mais recente da competição de segurança Pwn2Own.

Outra novidade no Google Chrome 90 é o codec de vídeo AV1. Este codec deve melhorar o desempenho durante videoconferências realizadas com o navegador via WebRTC. As vantagens do codec incluem melhor compressão para reduzir o uso de banda sem comprometer a qualidade de vídeo e suporte para vídeo mesmo em conexões com baixa largura de banda (30kbs ou menos).

Quem já tem o Google Chrome instalado deve receber a atualização para a versão 90 automaticamente. Quem não tem ele instalado pode fazer o download para Windows, macOS e Linux acessando google.com/chrome.

Fonte: Mundo conectado

Brave ‘detona’ novo controle de cookies do Google Chrome

Mais um browser se junta à lista de críticos do novo padrão de controle alternativo aos cookies anunciado para o Google Chrome no início deste ano. Desta vez foi o Brave, navegador de código aberto, quem bateu forte na famigerada API conhecida como Federated Learning of Cohorts (FLoC), anunciada pela gigante de Mountain View como um sistema de proteção à privacidade dos usuários.

Não é, diz o CEO e cofundador do Brave, Brendan Eich, em um artigo publicado no blog do navegador nesta segunda-feira (12), e também assinado pelo pesquisador sênior de privacidade Peter Snyder. Com o título “Um passo na direção errada”, os autores dizem que, na verdade, o oposto acontece.

Conforme Eich e Snyder, a nova interface de programação de aplicações “permite que seu navegador compartilhe seu comportamento de navegação e interesses, por padrão, com todos os sites e anunciantes com os quais você interage”. Por isso, asseguram que o Brave removeu a FLoC da versão Nightly do seu navegador para desktop e Android.

Por que a FLoC é ruim para os usuários?

O primeiro prejuízo ao usuário, informa o artigo, é que a “FLoc compartilha informações sobre o seu comportamento de navegação com sites e anunciantes que, de outra forma, não teriam acesso a essas informações. Isso significa que a API da Google ofereceria aos sites recém-visitados uma visão muito melhor de quem você é, e a qual público-alvo pertence, principalmente se você já bloqueia cookies de terceiros”.

“O segundo ponto é que a privacidade da Google, ao criar grupos de interesses não exclusivos de um usuário, ignora que os dados sobre um usuário são únicos e também pessoais e importantes para aquela pessoa. O que nos leva ao terceiro ponto: dizer que privacidade é apenas “ausência de rastreamento entre sites” é um conceito errado. O certo seria: não conte coisas minhas para os outros sem minha permissão”.

Fonte: Tecmundo

Google tirou do ar por dois dias extensão de Chrome que limita rastreamento

O Google manteve uma extensão para Chrome fora do ar por quase dois dias por entender que ela violou suas regras. A ClearURLs, que limpa endereços de sites para oferecer mais privacidade, foi retirada da Chrome Web Store porque teria descumprido as exigências da plataforma. A situação já foi normalizada, mas levantou dúvidas sobre o que, de fato, levou à punição.

A ClearURLs é útil para quem deseja diminuir o rastreamento. Você deve ter notado que, ao final do endereço, algumas páginas usam parâmetros como “utm_source” e “utm_medium”. Elas são exibidas normalmente mesmo se não contarem com esses trechos. Com eles, no entanto, os sites recebem mais dados sobre sua navegação.

Os parâmetros nas URLs são usados em várias situações, incluindo desde pesquisas no Google até links de newsletters. Em nosso teste, a extensão conseguiu reduzir o tamanho dos links do buscador em até 90%, em termos de números de caracteres. Apesar de aumentar a privacidade, a ferramenta ficou indisponível na Chrome Web Store na terça-feira (23).

Suspensão da ClearURLs foi criticada por criador

No GitHub, Kevin Röbert, criador da ClearURLs, confirmou a suspensão. Em sua publicação, ele criticou as justificativas para a remoção e sugeriu que a medida foi adotada porque a extensão prejudica o modelo de negócios do Google, visto que a empresa usa as informações das URLs em seus serviços.

Röbert apelou da decisão e descobriu os problemas apontados pelo Google. Segundo ele, a empresa alegou que a descrição, que exibia o nome dos colaboradores, era “muito detalhada” e, por isso, violava as regras. “A menção de todas as pessoas que ajudaram a desenvolver e a traduzir a ClearURLs é contra as regras do Google porque pode ‘confundir’ o usuário. Ridículo”, afirmou o desenvolvedor.

O Google apontou ainda que a descrição não dava informações sobre recursos secundários da extensão, como os que permitem fazer uma doação ao criador e exportar ou importar as configurações. A empresa também afirmou que a ferramenta pedia, sem necessidade, permissão para acessar a área de transferência.

O desenvolvedor atualizou a descrição, que apenas passou a citar a presença dos recursos, e a extensão deixou usar a área de transferência. Depois de 46 horas fora da Chrome Web Store, a ClearURLs voltou ao ar. Neste intervalo, os mais de 40 mil usuários da extensão tiveram de buscar outras opções ou aceitar o rastreamento feito no endereço de sites.

Com informações: BleepingComputer e Tecnoblog

Google enfrentará processo por rastrear usuários do Chrome no modo anônimo

Aba modo privado navegador Google Chrome

A juíza distrital Lucy Koh, da Califórnia, EUA, decidiu que o Google enfrentará ação coletiva que acusa a gigante de tecnologia de coletar dados de usuários mesmo quando o modo anônimo de navegação está ativado. O caso foi relatado pela Bloomberg no último sábado (13). Originalmente, a ação foi registrada em junho de 2020 por três pessoas e busca pelo menos US$ 5 bilhões em indenização.

A acusação aponta que o Google possui um “negócio de rastreamento de dados difundido” e que o rastreamento funciona mesmo quando usuários tomam medidas para manter suas informações privadas. O modo “Anônimo” pode ser utilizado no Chrome, mas também está disponível em outros navegadores.

“O tribunal concluiu que o Google não notifica os usuários de que se envolve na suposta coleta de dados enquanto eles estão no modo de navegação privada”, afirmou a juíza Koh em sua decisão.

No processo, é citado que o “Google sabe quem são seus amigos, quais são seus hobbies, o que você gosta de comer, quais filmes você assiste, onde e quando gosta de fazer compras, quais são os seus destinos de férias favoritos” e até “coisas potencialmente embaraçosas que você navega na internet”.

O que diz o Google

Em comunicado, o porta-voz do Google, José Castañeda, disse que a empresa contesta “veementemente essas reivindicações e nos defenderemos vigorosamente contra elas”.

“O modo de navegação anônima no Chrome oferece a opção de navegar na internet sem que sua atividade seja salva no computador ou dispositivo. Como declaramos claramente cada vez que você abre uma nova guia anônima, os sites podem coletar informações sobre sua atividade de navegação durante a sessão”, diz o Google.

A companhia também informa na ação “que ‘Incógnito’ não significa ‘invisível’ e que a atividade do usuário durante essa sessão pode ser visível para os sites que eles visitam e quaisquer análises de terceiros ou serviços de anúncios que os sites visitados usam”.

Em janeiro, o Google detalhou um plano que deverá eliminar cookies de rastreamento de terceiros, normalmente usados para segmentar publicidade online.

Fonte: Bloomberg e Olhar Digital

Google Chrome e Microsoft Edge recebem recurso de segurança da Intel

Intel CET, tecnologia capaz de mitigar determinados tipos de ataques, vai ser compatível com navegadores baseados no Chromium

Navegadores de internet são softwares extremamente populares, por isso, é essencial que eles recebam proteções adicionais regularmente. A mais recente iniciativa nesse sentido vem da Intel: uma tecnologia de segurança chamada Intel Control-flow Enforcement (CET) será suportada em breve pelos browsers baseados no Chromium, a exemplo do Google Chrome e do Microsoft Edge.

O CET foi apresentado pela Intel em 2016 e incorporado aos processadores da companhia a partir de 2020. Trata-se de uma tecnologia implementada em hardware que visa mitigar ataques baseados em pelo menos duas técnicas: ROP (Return Oriented Programming — Programação Orientação em Retorno, em tradução livre) e JOP (Jump Oriented Programming — Programação Orientada a Saltos).

Basicamente, ataques baseados nessas técnicas modificam o fluxo de execução de um aplicativo para colocar um código malicioso em seu lugar. Por usarem parte de um código legítimo e que já estava em execução para modificar o comportamento do software, detectar ataques do tipo acaba sendo uma tarefa bastante difícil.

Nos navegadores, ataques via ROP e JOP podem ser usados para burlar a sandbox (um ambiente restrito, que executa uma tarefa limitando o acesso desta aos recursos do computador) ou até possibilitar a execução de código malicioso com a simples abertura de um site.

Basicamente, o Intel CET bloqueia ataques do tipo detectando alterações de fluxo de execução e disparando exceções. Mas a implementação no hardware é só uma parte. O software também precisa ser compatível com a tecnologia.

O Windows 10 já é compatível com o Intel CET graças à implementação do Hardware-enforced Stack Protection. Agora, sabemos que o recurso também está chegando ao Chromium e, com efeito, aos navegadores baseados no projeto — Chrome e Edge devem receber o recurso em abril.

Uma implementação para Firefox também é esperada, mas ainda não há informação da Mozilla sobre quando isso irá acontecer.

É importante salientar, porém, que somente os processadores Core de 11ª geração e os chips AMD Ryzen com arquitetura Zen 3 são compatíveis com o Intel CET atualmente.

Com informações: BleepingComputer.

Microsoft removerá antigo Edge do Windows 10 de forma definitiva em abril

Logo Microsft Edge (old)

Junto com o Windows 8, a Microsoft lançou o navegador Edge para tentar conquistar usuários após o Internet Explorer ter ficado com a sua moral prejudicada, mas o plano não acabou indo como o esperado e a empresa lançou uma versão mais conhecida como “Novo Edge” usando o motor do “Chromium” com diversos recursos novos. Já nesta semana, a Microsoft anunciou em um de seus blogs que o antigo Edge será removido do Windows 10 dos usuários.

O processo, a princípio, deve ocorrer de forma quase que automática por meio do Windows Update, o sistema de atualizações do Windows 10. A atualização em questão está prevista para ser lançada no dia 13 de abril de 2021 e deve funcionar até mesmo em builds mais antigas do Windows 10, ou seja, você não precisa estar com o sistema atualizado para instalar esta atualização. Abaixo, segue a lista de versões do Windows 10 compatíveis que terão o Edge removido:

  • Windows 10 1803 (lançado em abril de 2018)
  • Windows 10 1809 (lançado em outubro de 2018)
  • Windows 10 1903 (lançado em maio de 2019)
  • Windows 10 1909 (lançado em outubro de 2019)
  • Windows 10 2004 (lançado em maio de 2020)
  • Windows 10 20H2 (lançado em outubro de 2020)

Ainda no ano passado, vale lembrar, por meio do Windows Update, a Microsoft começou a realizar a instalação de forma automática do novo Edge, entretanto, nem todos os usuários do sistema o receberam. Já em agosto de 2020, tendo em vista também o número baixo de usuários, a Microsoft anunciou que só soltaria atualizações de segurança para o antigo Edge até o dia 9 de março de 2021.

Caso você já possua a nova versão do Edge instalada em seu navegador, provavelmente, nenhuma mudança deverá ser notada no sistema, apesar da atualização em questão também trazer outras correções de segurança para o Windows.

Fontes: Olhar digital e Microsoft

Microsoft Edge é atualizado e está 13% mais rápido que as versões anteriores

A Microsoft continua apostando pesado no Edge para torná-lo tão atrativo e popular quanto o Google Chrome. Embora ainda haja um longo caminho pela frente, a gigante de Redmond comunicou nesta semana a implementação de duas ferramentas que ajudaram a aumentar o desempenho e otimizar o uso de memória do navegador — dois dos calcanhares de Aquiles do seu rival.

Em comunicado, a empresa afirmou que o Profile-Guided Optimizations (PGO), que prioriza as partes mais importantes do código, e o Link-Time Optimizations (LTO), focado em otimizar o uso da memória, trouxeram até 13% mais velocidade no navegador quando comparado com as versões anteriores, segundo resultados da ferramenta de benchmark Speedometer 2.0.

Vale lembrar que em junho deste ano a Microsoft já havia implementado função SegmentHeap no navegador Edge para Windows 10, que tem como objetivo reduzir o consumo de memória RAM em programas Win32 (agora chamado de Windows API). Embora não tenha comentado sobre a performance, testes internos feitos pela empresa concluíram que houve uma redução de 27% no uso de memória do Edge com a nova função do Windows.

O Google também vinha testando a função em seu navegador Chrome, mas acabou sendo desativada por supostas queda na performance do navegador — em média, houve uma redução de 5,5% no desempenho geral do Chrome. Em resposta, a Microsoft alegou que é comum a CPU trabalhar mais se o objetivo for reduzir o uso da memória RAM, mas há espaço para melhorias.

Melhorias na navegação

Além das melhorias internas, a Microsoft também tornou a animação de rolagem do Edge mais suave e aprimorou a aparência geral do navegador.

Baixe o Microsoft Edge: Android iOS Windows macOS

Fontes: Canaltech Microsoft