Alerta Zero-Day: Google Chrome sob ataque ativo, explorando nova vulnerabilidade
29 de Novembro de 2023

O Google lançou atualizações de segurança para corrigir sete problemas de segurança em seu navegador Chrome, incluindo um zero-day que vem sendo explorado ativamente em ambiente real.

Rastreado como CVE-2023-6345 , a vulnerabilidade de alta gravidade foi descrita como um bug de estouro de inteiro em Skia, uma biblioteca de gráficos 2D de código aberto.

Benoît Sevens e Clément Lecigne do Grupo de Análise de Ameaças (TAG) do Google foram creditados por descobrir e relatar a falha em 24 de novembro de 2023.

Como é geralmente o caso, o gigante da pesquisa reconheceu que "existe um exploit para CVE-2023-6345 na natureza", mas não compartilhou informações adicionais sobre a natureza dos ataques e os atores de ameaças que podem estar usá-lo em ataques no mundo real.

Vale notar que o Google lançou patches para uma falha semelhante de estouro de inteiro no mesmo componente ( CVE-2023-2136 ) em abril de 2023 que também estava sob exploração ativa como um zero-day, aumentando a possibilidade de que CVE-2023-6345 possa ser um bypass de patch para o anterior.

CVE-2023-2136 disse ter "permitido a um invasor remoto que havia comprometido o processo de renderização executar potencialmente uma fuga de sandbox via uma página HTML criada".

Com a última atualização, o gigante da tecnologia abordou um total de seis dias zero no Chrome desde o início do ano -

CVE-2023-2033 (pontuação CVSS: 8.8) - Confusão de tipo em V8
CVE-2023-2136 (pontuação CVSS: 9.6) - Estouro de inteiro em Skia
CVE-2023-3079 (pontuação CVSS: 8.8) - Confusão de tipo em V8
CVE-2023-4863 (pontuação CVSS: 8.8) - Estouro de buffer de heap em WebP
CVE-2023-5217 (pontuação CVSS: 8.8) - Estouro de buffer de heap na codificação vp8 em libvpx

Recomenda-se aos usuários fazerem a atualização para a versão 119.0.6045.199/.200 do Chrome para Windows e 119.0.6045.199 para macOS e Linux para mitigar possíveis ameaças.

Os usuários de navegadores baseados no Chromium, como Microsoft Edge, Brave, Opera e Vivaldi, também são aconselhados a aplicar os patches conforme eles se tornam disponíveis.

Achou este artigo interessante? Siga-nos no Twitter e LinkedIn para ler mais conteúdo exclusivo que postamos.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...