O Google corrigiu uma fragilidade de zero-day no Chrome que foi explorada por um fornecedor de spyware comercial, cujo nome não foi divulgado.
A fragilidade foi relatada à equipe do Chrome por Clement Lecigne, do Grupo de Análise de Ameaças (TAG) do Google, dois dias antes do lançamento do patch.
O Google afirmou que está ciente de um exploit para a fragilidade, rastreada como
CVE-2023-5217
e descrita como um "estouro de buffer de heap na codificação vp8 do libvpx".
O comunicado do Google não fornece mais detalhes sobre ataques que exploram o zero-day.
"O acesso aos detalhes dos bugs e links pode ser mantido limitado até que a maioria dos usuários receba uma correção", afirmou a empresa.
Porém, uma pesquisadora do TAG disse em um post no X (ex-Twitter) que a fragilidade tinha sido explorada para instalar spyware.
A fragilidade foi corrigida no Google Chrome 117.0.5938.132, que está sendo lançado agora para usuários de Windows, Mac e Linux no canal Desktop Estável.
Google removerá indicativos de sites seguros no Chrome 117.
Há duas semanas, o Google TAG revelou que três zero-days recentemente corrigidos pela Apple bloquearam um exploit usado para implantar o spyware Predator no celular de um candidato à presidência egípcia.
Predator é um spyware desenvolvido pela Cytrox, um polêmico fornecedor de spyware comercial, que pode roubar o conteúdo do celular de uma vítima após ser instalado.
O lançamento de um patch de emergência para o Chrome ocorre poucas semanas depois que o Google corrigiu outro zero-day explorado ativamente que foi descoberto pela equipe de Engenharia e Arquitetura de Segurança (Sear, na sigla em inglês) da Apple e pelo Citizen Lab, uma organização de direitos digitais da Universidade de Toronto que investiga spyware há mais de uma década.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...