Um pesquisador de segurança, Bálint Magyar, revelou uma vulnerabilidade crítica no Google Web Designer para Windows, que afeta versões anteriores à 16.4.0.0711. A falha permite a execução remota de código (RCE) através da injeção de CSS no arquivo de configuração gwd_workspace.json. Os atacantes podem inserir regras CSS maliciosas que, quando ativadas, acionam a API interna do Chrome, permitindo que comandos arbitrários sejam executados no computador da vítima. Essa vulnerabilidade é particularmente preocupante, pois requer apenas a interação mínima do usuário, como abrir um documento malicioso e selecionar uma opção no seletor de cores. O Google já lançou uma atualização que corrige essa falha, e os usuários são aconselhados a atualizar imediatamente para evitar possíveis ataques. Além disso, as equipes de segurança devem auditar arquivos gwd_workspace.json personalizados e restringir o acesso a compartilhamentos de arquivos de rede para mitigar riscos adicionais. Essa descoberta ressalta os perigos de misturar componentes nativos e da web em aplicações modernas, enfatizando a necessidade de validação rigorosa de entradas e isolamento de APIs internas.
Fonte: https://cyberpress.org/google-web-designer-vulnerability-could-let-hackers-take-control-of-pcs/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
01/09/2025 • Risco: ALTO
VULNERABILIDADE
Vulnerabilidade no Google Web Designer pode permitir controle de PCs
RESUMO EXECUTIVO
A vulnerabilidade no Google Web Designer pode permitir que atacantes executem comandos arbitrários em sistemas afetados, exigindo que as empresas atualizem suas versões imediatamente para evitar exploração. A falha destaca a importância da validação de entradas e do gerenciamento de riscos em ferramentas amplamente utilizadas.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis custos associados a vazamentos de dados e recuperação de sistemas.
Operacional
Execução remota de código com interação mínima do usuário.
Setores vulneráveis
['Tecnologia', 'Marketing Digital', 'Desenvolvimento de Software']
📊 INDICADORES CHAVE
Vulnerabilidade afeta versões anteriores à 16.4.0.0711.
Indicador
$3,500 concedidos pelo Google como recompensa pela descoberta.
Contexto BR
Requer apenas a abertura de um documento malicioso para exploração.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se a versão do Google Web Designer é a 16.4.0.0711 ou superior.
2
Atualizar o software para a versão mais recente disponível.
3
Monitorar logs de acesso e atividades suspeitas em sistemas que utilizam o Google Web Designer.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a possibilidade de controle remoto de sistemas críticos, o que pode levar a vazamentos de dados e interrupções operacionais.
⚖️ COMPLIANCE
Implicações para a conformidade com a LGPD, especialmente em caso de vazamento de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
