Alerta de Segurança: Atualização Urgente para Navegadores Baseados em Chromium
É fundamental que você atualize seu navegador imediatamente. Uma vulnerabilidade de dia zero (zero-day) foi corrigida recentemente em todos os navegadores baseados em Chromium, o que inclui Google Chrome, Microsoft Edge e Brave, entre outros.
Por se tratar de uma vulnerabilidade de dia zero, isso significa que ela estava sendo ativamente explorada por hackers no momento da correção. Atualmente, apenas o Google Chrome já recebeu a correção. Mas não se preocupe, mostraremos como proteger os outros navegadores também, pois existe uma correção fácil disponível.
Como Atualizar o Google Chrome
Para garantir que você está seguro no Google Chrome, siga estes passos:
- Vá até o menu no canto superior direito do navegador.
- Navegue até Ajuda.
- Selecione Sobre o Google Chrome.
O navegador deve iniciar a atualização automaticamente. Após a conclusão, basta reiniciar o Chrome para aplicar as correções. É importante verificar se você está em pelo menos uma das versões mais recentes ou superiores para estar protegido.
Atualizações em Outros Navegadores
Outros navegadores baseados em Chromium levarão um tempo maior para receber a correção. No caso do Microsoft Edge, espera-se que a atualização chegue em um ou dois dias, no máximo.
No entanto, independentemente do navegador que você utilize, existe uma maneira fácil de se proteger agora mesmo, pois a falha reside no motor V8 JavaScript Just-In-Time (JIT) compiler engine.
Este motor tem sido historicamente problemático, com muitas vulnerabilidades de dia zero sendo encontradas nele. Para se proteger, é altamente recomendável desativar as otimizações do JIT.
Desativando as Otimizações do V8 JavaScript
O que você deve procurar é a seguinte configuração: “Não permitir que sites usem otimização JavaScript” (Don’t allow sites to use JavaScript optimization).
Você pode acessar essa configuração digitando o seguinte URL diretamente na barra de endereço:
chrome://flags/#enable-javascript-optimization (Para navegadores baseados em Chromium)
Tecnicamente, isso não desativa completamente a compilação JIT, mas desabilita as otimizações especificamente nos sistemas internos conhecidos como TurboFan, TurboWish e Maglev.
Analisando as notas de correção, parece que a vulnerabilidade de dia zero estava especificamente na funcionalidade Maglev. Portanto, definir esta configuração para não permitir otimizações deve protegê-lo.
Proteção Adicional no Microsoft Edge
Se você estiver usando o Microsoft Edge especificamente, há uma opção que permite desabilitar completamente a compilação JIT.
Dentro das configurações de segurança aprimorada do Edge, você pode ativar a opção de segurança aprimorada. Recomenda-se começar com a opção Balanceada (Balanced), que adiciona segurança extra em sites que você não visita com frequência.
Alternativamente, você pode optar pela configuração Estrita (Strict). No entanto, com a opção estrita, você pode precisar desativá-la manualmente em alguns momentos. A escolha entre balanceado e estrito fica a seu critério, mas ambas as opções oferecerão proteção contra esta vulnerabilidade.
Detalhes Técnicos da Correção
Tecnicamente, havia duas vulnerabilidades corrigidas. Apenas uma era uma vulnerabilidade de dia zero que estava sendo explorada ativamente. A outra foi descoberta pelo Google e corrigida, mas não estava em exploração ativa.
Curiosamente, ambas são vulnerabilidades de confusão de tipo (type confusion) no motor JavaScript V8.
- A vulnerabilidade de dia zero estava relacionada às otimizações do motor.
- A outra falha, que não estava sendo ativamente explorada, estava no interpretador base, exigindo uma atualização de software para ser corrigida.
Portanto, certifique-se de atualizar o Chrome e configure as otimizações do JavaScript nos outros navegadores para se manter seguro.
Perguntas Frequentes
- O que é uma vulnerabilidade de dia zero (zero-day)?
É uma falha de segurança em um software que é desconhecida pelo fornecedor e já está sendo explorada ativamente por invasores antes que um patch de correção esteja disponível ou amplamente aplicado. - Como posso verificar se meu Google Chrome está atualizado?
Você pode verificar a versão e forçar a atualização indo no menu superior direito, clicando em Ajuda e, em seguida, em Sobre o Google Chrome. - Por que o motor V8 JavaScript JIT é problemático?
Este motor, responsável pela compilação Just-In-Time para otimizar o desempenho do JavaScript, tem sido historicamente um local comum para a descoberta de vulnerabilidades de segurança graves. - É possível desabilitar completamente o JIT no Chrome?
A configuração mencionada (`chrome://flags/#enable-javascript-optimization`) desabilita otimizações específicas, mas não desativa totalmente a compilação JIT. Para desativação completa, é preciso verificar as opções específicas de segurança de navegadores como o Microsoft Edge. - Qual a melhor forma de proteger navegadores baseados em Chromium que não seja atualizar?
A melhor forma temporária é desabilitar as otimizações JavaScript através da flag que desativa as otimizações nos sistemas internos como Maglev, TurboFan e TurboWish.
