O Google corrigiu sete vulnerabilidades de segurança no navegador Chrome, incluindo duas de zero day exploradas por pesquisadores de cibersegurança.

A primeira vulnerabilidade, identificada como CVE-2024-2887, é uma falha de alta gravidade no padrão aberto WebAssembly (Wasm). Manfred Paul demonstrou essa vulnerabilidade no primeiro dia do Pwn2Own, como parte de um exploit de execução de código remoto (RCE) duplo, usando uma página HTML criada e direcionada tanto para o Chrome quanto para o Edge.

A segunda falha, rastreada como CVE-2024-2886, foi explorada, descrita como uma fraqueza de uso após liberação (UAF) na API WebCodecs usada por aplicativos web para codificar e decodificar conteúdo de áudio e vídeo, ela permite que atacantes remotos realizem leituras/escritas arbitrárias por meio de páginas HTML criadas.

O Google corrigiu os dois zero days no canal estável do Google Chrome, versão 123.0.6312.86/.87 para usuários do Windows e Mac e 123.0.6312.86 para usuários do Linux, que será implementada em todo o mundo nos próximos dias.