Plataforma
chrome
Componente
angle
Corrigido em
97.0.4692.71
O CVE-2022-0104 representa um buffer overflow na biblioteca ANGLE, utilizada pelo Google Chrome para renderizar gráficos OpenGL ES. Essa vulnerabilidade permite que um atacante remoto cause corrupção de memória, potencialmente levando à execução de código arbitrário. A falha afeta versões do Chrome anteriores a 97.0.4692.71 e foi corrigida nessa versão.
Um atacante pode explorar este buffer overflow criando uma página HTML especialmente elaborada que, ao ser aberta em uma versão vulnerável do Google Chrome, causa a corrupção da memória heap. Essa corrupção pode ser explorada para executar código malicioso no contexto do usuário, permitindo o roubo de dados sensíveis, a instalação de malware ou o controle do sistema. Embora não haja relatos públicos de exploração ativa, a natureza crítica de um buffer overflow em um componente de renderização como o ANGLE torna esta vulnerabilidade de alto risco, especialmente considerando a ampla base de usuários do Chrome.
Este CVE foi publicado em 11 de fevereiro de 2022. Não está listado no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. Não há public proof-of-concept (PoC) amplamente divulgado, mas a natureza do buffer overflow sugere que um PoC pode ser desenvolvido relativamente facilmente. A ausência de exploração ativa confirmada não diminui a importância de aplicar a correção.
Status do Exploit
EPSS
0.56% (percentil 68%)
A mitigação primária é atualizar o Google Chrome para a versão 97.0.4692.71 ou superior. Em ambientes onde a atualização imediata não é possível, considere o uso de um Web Application Firewall (WAF) para bloquear solicitações maliciosas que possam explorar a vulnerabilidade. Monitore logs de acesso e erro do Chrome em busca de padrões suspeitos que possam indicar tentativas de exploração. Não há rollbacks viáveis além da atualização para uma versão corrigida.
Atualize o Google Chrome para a versão 97.0.4692.71 ou superior. Esta atualização corrige uma vulnerabilidade de overflow de buffer em ANGLE que poderia permitir a um atacante remoto executar código arbitrário através de uma página HTML manipulada.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2022-0104 is a heap buffer overflow vulnerability in Google Chrome versions prior to 97.0.4692.71. A crafted HTML page can trigger heap corruption, potentially leading to arbitrary code execution.
You are affected if you are using Google Chrome versions prior to 97.0.4692.71. Check your Chrome version by typing 'chrome://version' in the address bar.
Upgrade to Google Chrome version 97.0.4692.71 or later. Chrome typically updates automatically, but you can manually check for updates in the Chrome settings.
Currently, there are no publicly known active exploits or campaigns targeting CVE-2022-0104, but the potential for heap corruption warrants prompt mitigation.
You can find the official Google security advisory for CVE-2022-0104 on the Google Security Blog: https://security.googleblog.com/2022/02/chrome-update-for-security-vulnerabilities.html
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.