O Google corrigiu uma fragilidade de zero-day no Chrome que foi explorada por um fornecedor de spyware comercial, cujo nome não foi divulgado.
A fragilidade foi relatada à equipe do Chrome por Clement Lecigne, do Grupo de Análise de Ameaças (TAG) do Google, dois dias antes do lançamento do patch.
O Google afirmou que está ciente de um exploit para a fragilidade, rastreada como
CVE-2023-5217
e descrita como um "estouro de buffer de heap na codificação vp8 do libvpx".
O comunicado do Google não fornece mais detalhes sobre ataques que exploram o zero-day.
"O acesso aos detalhes dos bugs e links pode ser mantido limitado até que a maioria dos usuários receba uma correção", afirmou a empresa.
Porém, uma pesquisadora do TAG disse em um post no X (ex-Twitter) que a fragilidade tinha sido explorada para instalar spyware.
A fragilidade foi corrigida no Google Chrome 117.0.5938.132, que está sendo lançado agora para usuários de Windows, Mac e Linux no canal Desktop Estável.
Google removerá indicativos de sites seguros no Chrome 117.
Há duas semanas, o Google TAG revelou que três zero-days recentemente corrigidos pela Apple bloquearam um exploit usado para implantar o spyware Predator no celular de um candidato à presidência egípcia.
Predator é um spyware desenvolvido pela Cytrox, um polêmico fornecedor de spyware comercial, que pode roubar o conteúdo do celular de uma vítima após ser instalado.
O lançamento de um patch de emergência para o Chrome ocorre poucas semanas depois que o Google corrigiu outro zero-day explorado ativamente que foi descoberto pela equipe de Engenharia e Arquitetura de Segurança (Sear, na sigla em inglês) da Apple e pelo Citizen Lab, uma organização de direitos digitais da Universidade de Toronto que investiga spyware há mais de uma década.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...