A Google anunciou nesta quinta-feira (4/11) a correção de 12 vulnerabilidades em seu navegador Chrome, todas elas classificadas como ameaças de alto nível pela equipe de segurança da empresa.

A versão corrigida do Chrome também inclui uma atualização para o Flash Player da Adobe, o que dá aos usuários da Google uma correção antecipada para uma falha crítica que têm sido explorada por hackers via documentos PDF. A Adobe planeja lançar esta correção ao Flash para usuários de outros browsers também nesta quinta-feira.

A dúzia de falhas corrigidas hoje no Chrome 7.0.517.44 inclui duas relacionadas a SVG (Scalable Vector Graphics), uma coleção de especificações XML usada para descrever gráficos vetoriais em duas dimensões; uma do engine de JavaScript V8 do Chrome; e três que envolvem a capacidade do browser de lidar com textos.

A Google pagou 7.500 dólares em prêmios para oito pesquisadores que relataram 11 dos 12 bugs. É o maior total já pago desde agosto, quando a empresa distribuiu 8.674 dólares.

Como de costume, a Google bloqueou seu banco de dados de rastreamento de bugs para afastar bisbilhoteiros interessados em garimpar detalhes técnicos sobre as vulnerabilidades. A empresa geralmente destrava o acesso às falhas semanas depois de elas terem sido corrigidas, para dar aos usuários tempo de atualizar seus navegadores antes que a informação se torne pública.

Antes do tempo
A atualização de hoje para a versão “estável” – a Google mantém três canais separados para o Chrome, que variam de “estável” a “beta” e “dev” – inclui uma versão renovada do Flash Player, o popular plug-in para reprodução de mídia.

Sete meses atrás, a Google e a Adobe fecharam um acordo pelo qual a Google entregaria o Flash Player embutido com o Chrome e atualizaria o plug-in usando o próprio atualizador silencioso do navegador. É a segunda vez em seis semanas que os usuários do Chrome recebem uma correção para o Flash Player antes que os usuários dos navegadores rivais, tais como o Internet Explorer e o Firefox.

Na semana passada, a Adobe confirmou que o Flash continha um bug crítico que vinha sendo explorado por invasores, e prometeu consertá-la em 9 de novembro. No começo desta semana, no entanto, a Adobe avisou que anteciparia a liberação da atualização para hoje, dizendo que o trabalho havia sido mais rápido que o esperado.

Embora o bug esteja no Flash, os cibercriminosos estão na verdade explorando documentos PDF maliciosos; o Adobe Reader inclui código para renderizar Flash a partir de um PDF, e este código também tem falhas. A Adobe planeja consertar o Reader e o Acrobat PDF na semana de 15 de novembro.

A atualização desta quinta-feira marcou a segunda rodada de correções de segurança do Chrome desde que surgiu a versão 7, no mês passado.

(Gregg Keizer)