O Google lançou uma atualização de segurança de emergência para o Chrome para tratar da primeira vulnerabilidade zero-day explorada em ataques desde o início do ano.
"O Google está ciente de que um exploit para
CVE-2023-2033
existe", disse o gigante das buscas em um aviso de segurança publicado na sexta-feira.
A nova versão está sendo distribuída para usuários no canal Desktop estável e chegará a toda a base de usuários nos próximos dias ou semanas.
Os usuários do Chrome devem atualizar para a versão 112.0.5615.121 o mais rápido possível, pois ela aborda a vulnerabilidade
CVE-2023-2033
em sistemas Windows, Mac e Linux.
Esta atualização estava imediatamente disponível quando o BleepingComputer verificou novas atualizações no menu do Chrome> Ajuda> Sobre o Google Chrome.
O navegador da web também verificará automaticamente novas atualizações e as instalará sem exigir interação do usuário após uma reinicialização.
A vulnerabilidade zero-day de alta gravidade (
CVE-2023-2033
) é devido a uma fraqueza de type confusion de alta gravidade no mecanismo JavaScript V8 do Chrome.
O bug foi relatado por Clement Lecigne do Grupo de Análise de Ameaças (TAG) do Google, cujo objetivo principal é defender os clientes do Google de ataques patrocinados pelo estado.
O Google TAG frequentemente descobre e relata bugs zero-day explorados em ataques altamente direcionados por atores de ameaças patrocinados pelo governo visando instalar spyware em dispositivos de indivíduos de alto risco, incluindo jornalistas, políticos de oposição e dissidentes em todo o mundo.
Embora falhas de type confusion geralmente permitam que os invasores provoquem falhas no navegador após exploração bem-sucedida, lendo ou gravando memória fora dos limites do buffer, os atores de ameaças também podem explorá-las para execução de código arbitrário em dispositivos comprometidos.
Embora o Google tenha dito que sabe de exploits zero-day
CVE-2023-2033
usados em ataques, a empresa ainda não compartilhou mais informações sobre esses incidentes.
"O acesso a detalhes e links de bugs pode ser mantido restrito até que a maioria dos usuários seja atualizada com uma correção", disse o Google.
"Também manteremos restrições se o bug existir em uma biblioteca de terceiros na qual outros projetos também dependam, mas ainda não foram corrigidos."
Isso permitirá que os usuários do Chrome do Google atualizem seus navegadores e bloqueiem tentativas de ataque até que os detalhes técnicos sejam divulgados, permitindo que mais atores de ameaças desenvolvam seus próprios exploits.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...