O Google lançou uma atualização de segurança de emergência para o Chrome para tratar da primeira vulnerabilidade zero-day explorada em ataques desde o início do ano.
"O Google está ciente de que um exploit para
CVE-2023-2033
existe", disse o gigante das buscas em um aviso de segurança publicado na sexta-feira.
A nova versão está sendo distribuída para usuários no canal Desktop estável e chegará a toda a base de usuários nos próximos dias ou semanas.
Os usuários do Chrome devem atualizar para a versão 112.0.5615.121 o mais rápido possível, pois ela aborda a vulnerabilidade
CVE-2023-2033
em sistemas Windows, Mac e Linux.
Esta atualização estava imediatamente disponível quando o BleepingComputer verificou novas atualizações no menu do Chrome> Ajuda> Sobre o Google Chrome.
O navegador da web também verificará automaticamente novas atualizações e as instalará sem exigir interação do usuário após uma reinicialização.
A vulnerabilidade zero-day de alta gravidade (
CVE-2023-2033
) é devido a uma fraqueza de type confusion de alta gravidade no mecanismo JavaScript V8 do Chrome.
O bug foi relatado por Clement Lecigne do Grupo de Análise de Ameaças (TAG) do Google, cujo objetivo principal é defender os clientes do Google de ataques patrocinados pelo estado.
O Google TAG frequentemente descobre e relata bugs zero-day explorados em ataques altamente direcionados por atores de ameaças patrocinados pelo governo visando instalar spyware em dispositivos de indivíduos de alto risco, incluindo jornalistas, políticos de oposição e dissidentes em todo o mundo.
Embora falhas de type confusion geralmente permitam que os invasores provoquem falhas no navegador após exploração bem-sucedida, lendo ou gravando memória fora dos limites do buffer, os atores de ameaças também podem explorá-las para execução de código arbitrário em dispositivos comprometidos.
Embora o Google tenha dito que sabe de exploits zero-day
CVE-2023-2033
usados em ataques, a empresa ainda não compartilhou mais informações sobre esses incidentes.
"O acesso a detalhes e links de bugs pode ser mantido restrito até que a maioria dos usuários seja atualizada com uma correção", disse o Google.
"Também manteremos restrições se o bug existir em uma biblioteca de terceiros na qual outros projetos também dependam, mas ainda não foram corrigidos."
Isso permitirá que os usuários do Chrome do Google atualizem seus navegadores e bloqueiem tentativas de ataque até que os detalhes técnicos sejam divulgados, permitindo que mais atores de ameaças desenvolvam seus próprios exploits.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...