O Google lançou atualizações de segurança para corrigir sete problemas de segurança em seu navegador Chrome, incluindo um zero-day que vem sendo explorado ativamente em ambiente real.
Rastreado como
CVE-2023-6345
, a vulnerabilidade de alta gravidade foi descrita como um bug de estouro de inteiro em Skia, uma biblioteca de gráficos 2D de código aberto.
Benoît Sevens e Clément Lecigne do Grupo de Análise de Ameaças (TAG) do Google foram creditados por descobrir e relatar a falha em 24 de novembro de 2023.
Como é geralmente o caso, o gigante da pesquisa reconheceu que "existe um exploit para
CVE-2023-6345
na natureza", mas não compartilhou informações adicionais sobre a natureza dos ataques e os atores de ameaças que podem estar usá-lo em ataques no mundo real.
Vale notar que o Google lançou patches para uma falha semelhante de estouro de inteiro no mesmo componente (
CVE-2023-2136
) em abril de 2023 que também estava sob exploração ativa como um zero-day, aumentando a possibilidade de que
CVE-2023-6345
possa ser um bypass de patch para o anterior.
CVE-2023-2136
disse ter "permitido a um invasor remoto que havia comprometido o processo de renderização executar potencialmente uma fuga de sandbox via uma página HTML criada".
Com a última atualização, o gigante da tecnologia abordou um total de seis dias zero no Chrome desde o início do ano -
CVE-2023-2033
(pontuação CVSS: 8.8) - Confusão de tipo em V8
CVE-2023-2136
(pontuação CVSS: 9.6) - Estouro de inteiro em Skia
CVE-2023-3079
(pontuação CVSS: 8.8) - Confusão de tipo em V8
CVE-2023-4863
(pontuação CVSS: 8.8) - Estouro de buffer de heap em WebP
CVE-2023-5217
(pontuação CVSS: 8.8) - Estouro de buffer de heap na codificação vp8 em libvpx
Recomenda-se aos usuários fazerem a atualização para a versão 119.0.6045.199/.200 do Chrome para Windows e 119.0.6045.199 para macOS e Linux para mitigar possíveis ameaças.
Os usuários de navegadores baseados no Chromium, como Microsoft Edge, Brave, Opera e Vivaldi, também são aconselhados a aplicar os patches conforme eles se tornam disponíveis.
Achou este artigo interessante? Siga-nos no Twitter e LinkedIn para ler mais conteúdo exclusivo que postamos.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...