Na última segunda-feira, o Google lançou patches de segurança fora da banda para corrigir uma falha de segurança crítica em seu navegador de internet Chrome que, segundo ele, foi explorada no mundo virtual.
Rastreada como
CVE-2023-4863
, essa questão foi descrita como um caso de overflow do buffer do heap que reside no formato de imagem WebP, podendo resultar em execução arbitrária de código ou falha do sistema.
A equipe de engenharia de segurança da Apple e a arquitetura (SEAR) e o Citizen Lab da Universidade de Toronto foram creditados por descobrir e relatar a falha em 6 de setembro de 2023.
A gigante da tecnologia ainda não divulgou detalhes adicionais sobre a natureza desses ataques, mas destacou que está "ciente de que um exploit para o
CVE-2023-4863
existe na internet".
Com a correção mais recente, o Google abordou um total de quatro vulnerabilidades de zero-day no Chrome desde o início deste ano:
CVE-2023-2033
(pontuação CVSS: 8.8) - Confusão de Tipo em V8.
CVE-2023-2136
(pontuação CVSS: 9.6) - Overflow de inteiro em Skia.
CVE-2023-3079
(pontuação CVSS: 8.8) - Confusão de Tipo em V8.
No mesmo dia, a Apple expandiu as correções para remediar o
CVE-2023-41064
para os seguintes dispositivos e sistemas operacionais:
iOS 15.7.9 e iPadOS 15.7.9 - iPhone 6s (todos os modelos), iPhone 7 (todos os modelos), iPhone SE (1ª geração), iPad Air 2, iPad mini (4ª geração), e iPod touch (7ª geração).
MacOS Big Sur 11.7.10 e macOS Monterey 12.6.9.
O
CVE-2023-41064
está relacionado a uma questão de estouro de buffer no componente de imagem I/O que pode levar à execução arbitrária de código ao processar uma imagem criada maliciosamente.
De acordo com o Citizen Lab, o
CVE-2023-41064
teria sido usado em conjunto com o
CVE-2023-41061
, uma questão de validação no Wallet, como parte de uma cadeia de exploração de iMessage de zero clique chamada BLASTPASS para implantar o Pegasus em iPhones totalmente atualizados rodando o iOS 16.6.
O fato de ambos os
CVE-2023-41064
e
CVE-2023-4863
girarem em torno do processamento de imagem e o último ter sido relatado pela Apple e pelo Citizen Lab sugere que pode haver uma possível conexão entre os dois.
Os usuários são recomendados a atualizarem para a versão 116.0.5845.187/.188 do Chrome para Windows e 116.0.5845.187 para macOS e Linux para mitigar potenciais ameaças.
Aqueles que usam navegadores baseados em Chromium como Microsoft Edge, Brave, Opera e Vivaldi também são aconselhados a aplicar as correções assim que elas estiverem disponíveis.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...