A Google lançou atualizações de segurança para corrigir sete problemas de segurança em seu navegador Chrome, incluindo um zero-day que tem sido alvo de exploração ativa.
Rastreada como CVE-2023-6345, a vulnerabilidade de alta gravidade foi descrita como um bug de overflow de inteiro no Skia, uma biblioteca de gráficos 2D de código aberto.
Benoît Sevens e Clément Lecigne do Grupo de Análise de Ameaças (TAG) da Google foram creditados por descobrir e relatar a falha em 24 de novembro de 2023.
Como é típico, a gigante das buscas reconheceu que “existe um exploit para CVE-2023-6345 em circulação”, mas se absteve de fornecer informações adicionais sobre a natureza dos ataques e os atores de ameaças que podem estar utilizando-o em ataques do mundo real.
Vale ressaltar que o Google lançou correções para uma falha semelhante de estouro de inteiro no mesmo componente (CVE-2023-2136) em abril de 2023, que também estava sendo ativamente explorada como zero-day, levantando a possibilidade de que CVE-2023-6345 poderia ser uma forma de contornar a correção para a primeira.
CVE-2023-2136 é dito ter “permitido a um atacante remoto que comprometeu o processo do renderizador potencialmente realizar uma fuga da sandbox por meio de uma página HTML manipulada.”
Com a última atualização, a gigante da tecnologia abordou um total de sete zero-days no Chrome desde o início do ano.
- CVE-2023-2033 (pontuação CVSS: 8,8) – Confusão de Tipo no V8
- CVE-2023-2136 (pontuação CVSS: 9,6) – Estouro de inteiro no Skia
- CVE-2023-3079 (pontuação CVSS: 8,8) – Confusão de Tipo no V8
- CVE-2023-4762 (pontuação CVSS: 8,8) – Confusão de Tipo no V8
- CVE-2023-4863 (pontuação CVSS: 8,8) – Estouro de buffer de heap no WebP
- CVE-2023-5217 (pontuação CVSS: 8,8) – Estouro de buffer de heap na codificação vp8 em libvpx
Os usuários são recomendados a fazer a atualização para a versão 119.0.6045.199/.200 do Chrome para Windows e 119.0.6045.199 para macOS e Linux para mitigar possíveis ameaças. Usuários de navegadores baseados em Chromium, como Microsoft Edge, Brave, Opera e Vivaldi, também são aconselhados a aplicar as correções assim que estiverem disponíveis.
(A história foi atualizada após a publicação para incluir informações sobre a exploração ativa de CVE-2023-4762.)
Achou este artigo interessante? Subscreva em nossa newsletter ou siga-nos em nossas redes sociais para ler mais conteúdos exclusivos que publicamos.
Receba as últimas atualizações diretamente no seu celular através do nosso canal no WhatsApp. Clique aqui para se conectar agora.
Obtenha mais coisas como esta
Inscreva-se em nossa newsletter e receba conteúdos interessantes e atualizações em sua caixa de entrada de e-mail.
Obrigado por se inscrever.
Algo correu mal.
