Chrome e Firefox lançam patches para mais de 35 vulnerabilidades

A Google e a Mozilla anunciaram um conjunto de atualizações de segurança. Em causa estão mais de 35 vulnerabilidades nos navegadores.

O Chrome 124 foi lançado com patches para 22 bugs, 13 dos quais detetados por investigadores externos. 

Entre estas falhas detetadas externamente, três foram consideradas de alta gravidade. A mais grave foi referenciada como CVE-2024-3832, descrita como um defeito de corrupção de objetos no motor JavaScript V8.

O mesmo investigador relatou ainda um problema de corrupção de objetos de alta gravidade no WebAssembly, referenciada como CVE-2024-3833.

Uma terceira falha de alta gravidade foi também relatada por um investigador externo – a CVE-2024-3834.

A atualização realizada pelo Chrome resolve ainda seis problemas de gravidade média e quatro de gravidade baixa, todos reportados por investigadores externos.

A versão mais recente do Chrome está a ser lançada como versão 124.0.6367.60/.61 para Windows e macOS e como versão 124.0.6367.60 para Linux.

No caso do Firefox 125 foi lançado com patches para 15 vulnerabilidades, incluindo nove de alta gravidade que podem permitir a execução de código arbitrário.

Cinco das vulnerabilidades em causa afetam o componente JIT que, em determinadas situações, pode desenvolver o objeto errado, gerar código com leituras fora dos limites, falhar ao rastrear um objeto JavaScript ou criar códigos incorretos.

Dois dos restantes bugs de alta gravidade estão relacionados com a recolha de lixo, enquanto os outros dois são bugs de segurança de memória.

A atualização do Firefox resolve ainda cinco defeitos de segurança de média gravidade e um de baixa gravidade. O primeiro, classificado como CVE-2024-3302, pode levar a ataques de denial-of-service (DoS) com recurso a um novo método de ataque – o HTTP/2 Continuation Flood.

A Mozilla anunciou também o lançamento do Firefox ESR 115.10, que resolve nove das vulnerabilidades abordadas no Firefox 125.