Google corrige o quinto Chrome zero-day ativamente explorado de 2023
28 de Setembro de 2023

O Google corrigiu a quinta vulnerabilidade zero-day do Chrome explorada em ataques desde o início do ano em atualizações de emergência de segurança lançadas hoje.

"O Google está ciente de que uma exploração para CVE-2023-5217 existe em estado selvagem", revelou a empresa em um comunicado de segurança publicado na quarta-feira.

A vulnerabilidade de segurança é abordada no Google Chrome 117.0.5938.132, sendo distribuída mundialmente para usuários de Windows, Mac e Linux no canal Stable Desktop.

Embora o comunicado indique que provavelmente levará dias ou semanas até que a versão corrigida alcance toda a base de usuários, a atualização estava imediatamente disponível quando o BleepingComputer verificou as atualizações.

O navegador da web também verificará automaticamente novas atualizações e as instalará automaticamente após o próximo lançamento.

A vulnerabilidade zero-day de alta gravidade ( CVE-2023-5217 ) é causada por uma fraqueza de estouro de buffer do heap na codificação VP8 da biblioteca de codec de vídeo de código aberto libvpx, um defeito cujo impacto varia de falhas de aplicativos a execução de código arbitrário.

O bug foi relatado pelo pesquisador de segurança do Google Threat Analysis Group (TAG) Clément Lecigne na segunda-feira, 25 de setembro.

Os pesquisadores da TAG do Google são conhecidos por frequentemente encontrar e relatar zero-days abusados em ataques de spyware direcionados por atores de ameaças patrocinados pelo governo e grupos de hackers visando indivíduos de alto risco, como jornalistas e políticos da oposição.

Hoje, Maddie Stone da TAG do Google revelou que a vulnerabilidade zero-day CVE-2023-5217 foi explorada para instalar spyware.

Junto com os pesquisadores do Citizen Lab, a TAG do Google também divulgou na sexta-feira que três zero-days corrigidos pela Apple na quinta-feira passada foram usados para instalar o spyware Predator da Cytrox entre maio e setembro de 2023.

Mesmo que o Google tenha dito hoje que o CVE-2023-5217 zero-day foi explorado em ataques, a empresa ainda precisa compartilhar mais informações sobre esses incidentes.

"O acesso aos detalhes e links do bug pode ser restrito até que a maioria dos usuários seja atualizada com uma correção", disse o Google.

"Também manteremos as restrições se o bug existir em uma biblioteca de terceiros na qual outros projetos dependem de forma semelhante, mas ainda não foram corrigidos".

Como resultado direto, os usuários do Google Chrome terão tempo suficiente para atualizar seus navegadores como uma medida preventiva contra ataques potenciais.

Essa abordagem pró-ativa pode ajudar a mitigar o risco de atores de ameaças criarem suas próprias explorações e as implantarem em cenários do mundo real, principalmente à medida que mais detalhes técnicos se tornam disponíveis.

O Google corrigiu outro zero-day (rastreado como CVE-2023-4863 ) explorado no estado bruto duas semanas atrás, o quarto desde o início do ano.

Embora tenha inicialmente marcado como uma falha no Chrome, a empresa posteriormente atribuiu outro CVE ( CVE-2023-5129 ) e uma classificação de gravidade máxima de 10/10, marcando-o como uma vulnerabilidade crítica de segurança em libwebp (uma biblioteca usada por um grande número de projetos, incluindo Signal, 1Password, Mozilla Firefox, Microsoft Edge, Safari da Apple e o navegador web nativo do Android).

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...