O Google corrigiu a quinta vulnerabilidade zero-day do Chrome explorada em ataques desde o início do ano em atualizações de emergência de segurança lançadas hoje.
"O Google está ciente de que uma exploração para
CVE-2023-5217
existe em estado selvagem", revelou a empresa em um comunicado de segurança publicado na quarta-feira.
A vulnerabilidade de segurança é abordada no Google Chrome 117.0.5938.132, sendo distribuída mundialmente para usuários de Windows, Mac e Linux no canal Stable Desktop.
Embora o comunicado indique que provavelmente levará dias ou semanas até que a versão corrigida alcance toda a base de usuários, a atualização estava imediatamente disponível quando o BleepingComputer verificou as atualizações.
O navegador da web também verificará automaticamente novas atualizações e as instalará automaticamente após o próximo lançamento.
A vulnerabilidade zero-day de alta gravidade (
CVE-2023-5217
) é causada por uma fraqueza de estouro de buffer do heap na codificação VP8 da biblioteca de codec de vídeo de código aberto libvpx, um defeito cujo impacto varia de falhas de aplicativos a execução de código arbitrário.
O bug foi relatado pelo pesquisador de segurança do Google Threat Analysis Group (TAG) Clément Lecigne na segunda-feira, 25 de setembro.
Os pesquisadores da TAG do Google são conhecidos por frequentemente encontrar e relatar zero-days abusados em ataques de spyware direcionados por atores de ameaças patrocinados pelo governo e grupos de hackers visando indivíduos de alto risco, como jornalistas e políticos da oposição.
Hoje, Maddie Stone da TAG do Google revelou que a vulnerabilidade zero-day
CVE-2023-5217
foi explorada para instalar spyware.
Junto com os pesquisadores do Citizen Lab, a TAG do Google também divulgou na sexta-feira que três zero-days corrigidos pela Apple na quinta-feira passada foram usados para instalar o spyware Predator da Cytrox entre maio e setembro de 2023.
Mesmo que o Google tenha dito hoje que o
CVE-2023-5217
zero-day foi explorado em ataques, a empresa ainda precisa compartilhar mais informações sobre esses incidentes.
"O acesso aos detalhes e links do bug pode ser restrito até que a maioria dos usuários seja atualizada com uma correção", disse o Google.
"Também manteremos as restrições se o bug existir em uma biblioteca de terceiros na qual outros projetos dependem de forma semelhante, mas ainda não foram corrigidos".
Como resultado direto, os usuários do Google Chrome terão tempo suficiente para atualizar seus navegadores como uma medida preventiva contra ataques potenciais.
Essa abordagem pró-ativa pode ajudar a mitigar o risco de atores de ameaças criarem suas próprias explorações e as implantarem em cenários do mundo real, principalmente à medida que mais detalhes técnicos se tornam disponíveis.
O Google corrigiu outro zero-day (rastreado como
CVE-2023-4863
) explorado no estado bruto duas semanas atrás, o quarto desde o início do ano.
Embora tenha inicialmente marcado como uma falha no Chrome, a empresa posteriormente atribuiu outro CVE (
CVE-2023-5129
) e uma classificação de gravidade máxima de 10/10, marcando-o como uma vulnerabilidade crítica de segurança em libwebp (uma biblioteca usada por um grande número de projetos, incluindo Signal, 1Password, Mozilla Firefox, Microsoft Edge, Safari da Apple e o navegador web nativo do Android).
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...