Atualização de emergência do Google Chrome corrige primeiro zero-day de 2023
17 de Abril de 2023

O Google lançou uma atualização de segurança de emergência para o Chrome para tratar da primeira vulnerabilidade zero-day explorada em ataques desde o início do ano.

"O Google está ciente de que um exploit para CVE-2023-2033 existe", disse o gigante das buscas em um aviso de segurança publicado na sexta-feira.

A nova versão está sendo distribuída para usuários no canal Desktop estável e chegará a toda a base de usuários nos próximos dias ou semanas.

Os usuários do Chrome devem atualizar para a versão 112.0.5615.121 o mais rápido possível, pois ela aborda a vulnerabilidade CVE-2023-2033 em sistemas Windows, Mac e Linux.

Esta atualização estava imediatamente disponível quando o BleepingComputer verificou novas atualizações no menu do Chrome> Ajuda> Sobre o Google Chrome.

O navegador da web também verificará automaticamente novas atualizações e as instalará sem exigir interação do usuário após uma reinicialização.

A vulnerabilidade zero-day de alta gravidade ( CVE-2023-2033 ) é devido a uma fraqueza de type confusion de alta gravidade no mecanismo JavaScript V8 do Chrome.

O bug foi relatado por Clement Lecigne do Grupo de Análise de Ameaças (TAG) do Google, cujo objetivo principal é defender os clientes do Google de ataques patrocinados pelo estado.

O Google TAG frequentemente descobre e relata bugs zero-day explorados em ataques altamente direcionados por atores de ameaças patrocinados pelo governo visando instalar spyware em dispositivos de indivíduos de alto risco, incluindo jornalistas, políticos de oposição e dissidentes em todo o mundo.

Embora falhas de type confusion geralmente permitam que os invasores provoquem falhas no navegador após exploração bem-sucedida, lendo ou gravando memória fora dos limites do buffer, os atores de ameaças também podem explorá-las para execução de código arbitrário em dispositivos comprometidos.

Embora o Google tenha dito que sabe de exploits zero-day CVE-2023-2033 usados em ataques, a empresa ainda não compartilhou mais informações sobre esses incidentes.

"O acesso a detalhes e links de bugs pode ser mantido restrito até que a maioria dos usuários seja atualizada com uma correção", disse o Google.

"Também manteremos restrições se o bug existir em uma biblioteca de terceiros na qual outros projetos também dependam, mas ainda não foram corrigidos."

Isso permitirá que os usuários do Chrome do Google atualizem seus navegadores e bloqueiem tentativas de ataque até que os detalhes técnicos sejam divulgados, permitindo que mais atores de ameaças desenvolvam seus próprios exploits.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...