Google lança correção para dia zero explorado por spyware comercial

2 de Outubro de 2023

O Google corrigiu uma fragilidade de zero-day no Chrome que foi explorada por um fornecedor de spyware comercial, cujo nome não foi divulgado.

A fragilidade foi relatada à equipe do Chrome por Clement Lecigne, do Grupo de Análise de Ameaças (TAG) do Google, dois dias antes do lançamento do patch.

O Google afirmou que está ciente de um exploit para a fragilidade, rastreada como CVE-2023-5217 e descrita como um "estouro de buffer de heap na codificação vp8 do libvpx".

O comunicado do Google não fornece mais detalhes sobre ataques que exploram o zero-day.

"O acesso aos detalhes dos bugs e links pode ser mantido limitado até que a maioria dos usuários receba uma correção", afirmou a empresa.

Porém, uma pesquisadora do TAG disse em um post no X (ex-Twitter) que a fragilidade tinha sido explorada para instalar spyware.

A fragilidade foi corrigida no Google Chrome 117.0.5938.132, que está sendo lançado agora para usuários de Windows, Mac e Linux no canal Desktop Estável.

Google removerá indicativos de sites seguros no Chrome 117.

Há duas semanas, o Google TAG revelou que três zero-days recentemente corrigidos pela Apple bloquearam um exploit usado para implantar o spyware Predator no celular de um candidato à presidência egípcia.

Predator é um spyware desenvolvido pela Cytrox, um polêmico fornecedor de spyware comercial, que pode roubar o conteúdo do celular de uma vítima após ser instalado.

O lançamento de um patch de emergência para o Chrome ocorre poucas semanas depois que o Google corrigiu outro zero-day explorado ativamente que foi descoberto pela equipe de Engenharia e Arquitetura de Segurança (Sear, na sigla em inglês) da Apple e pelo Citizen Lab, uma organização de direitos digitais da Universidade de Toronto que investiga spyware há mais de uma década.

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...