Alerta Zero-Day: Google Chrome sob ataque ativo, explorando nova vulnerabilidade
29 de Novembro de 2023

O Google lançou atualizações de segurança para corrigir sete problemas de segurança em seu navegador Chrome, incluindo um zero-day que vem sendo explorado ativamente em ambiente real.

Rastreado como CVE-2023-6345 , a vulnerabilidade de alta gravidade foi descrita como um bug de estouro de inteiro em Skia, uma biblioteca de gráficos 2D de código aberto.

Benoît Sevens e Clément Lecigne do Grupo de Análise de Ameaças (TAG) do Google foram creditados por descobrir e relatar a falha em 24 de novembro de 2023.

Como é geralmente o caso, o gigante da pesquisa reconheceu que "existe um exploit para CVE-2023-6345 na natureza", mas não compartilhou informações adicionais sobre a natureza dos ataques e os atores de ameaças que podem estar usá-lo em ataques no mundo real.

Vale notar que o Google lançou patches para uma falha semelhante de estouro de inteiro no mesmo componente ( CVE-2023-2136 ) em abril de 2023 que também estava sob exploração ativa como um zero-day, aumentando a possibilidade de que CVE-2023-6345 possa ser um bypass de patch para o anterior.

CVE-2023-2136 disse ter "permitido a um invasor remoto que havia comprometido o processo de renderização executar potencialmente uma fuga de sandbox via uma página HTML criada".

Com a última atualização, o gigante da tecnologia abordou um total de seis dias zero no Chrome desde o início do ano -

CVE-2023-2033 (pontuação CVSS: 8.8) - Confusão de tipo em V8
CVE-2023-2136 (pontuação CVSS: 9.6) - Estouro de inteiro em Skia
CVE-2023-3079 (pontuação CVSS: 8.8) - Confusão de tipo em V8
CVE-2023-4863 (pontuação CVSS: 8.8) - Estouro de buffer de heap em WebP
CVE-2023-5217 (pontuação CVSS: 8.8) - Estouro de buffer de heap na codificação vp8 em libvpx

Recomenda-se aos usuários fazerem a atualização para a versão 119.0.6045.199/.200 do Chrome para Windows e 119.0.6045.199 para macOS e Linux para mitigar possíveis ameaças.

Os usuários de navegadores baseados no Chromium, como Microsoft Edge, Brave, Opera e Vivaldi, também são aconselhados a aplicar os patches conforme eles se tornam disponíveis.

Achou este artigo interessante? Siga-nos no Twitter e LinkedIn para ler mais conteúdo exclusivo que postamos.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...