Google se apressa para corrigir vulnerabilidade crítica do Chrome explorada
12 de Setembro de 2023

Na última segunda-feira, o Google lançou patches de segurança fora da banda para corrigir uma falha de segurança crítica em seu navegador de internet Chrome que, segundo ele, foi explorada no mundo virtual.

Rastreada como CVE-2023-4863 , essa questão foi descrita como um caso de overflow do buffer do heap que reside no formato de imagem WebP, podendo resultar em execução arbitrária de código ou falha do sistema.

A equipe de engenharia de segurança da Apple e a arquitetura (SEAR) e o Citizen Lab da Universidade de Toronto foram creditados por descobrir e relatar a falha em 6 de setembro de 2023.

A gigante da tecnologia ainda não divulgou detalhes adicionais sobre a natureza desses ataques, mas destacou que está "ciente de que um exploit para o CVE-2023-4863 existe na internet".

Com a correção mais recente, o Google abordou um total de quatro vulnerabilidades de zero-day no Chrome desde o início deste ano:

CVE-2023-2033 (pontuação CVSS: 8.8) - Confusão de Tipo em V8.
CVE-2023-2136 (pontuação CVSS: 9.6) - Overflow de inteiro em Skia.
CVE-2023-3079 (pontuação CVSS: 8.8) - Confusão de Tipo em V8.

No mesmo dia, a Apple expandiu as correções para remediar o CVE-2023-41064 para os seguintes dispositivos e sistemas operacionais:

iOS 15.7.9 e iPadOS 15.7.9 - iPhone 6s (todos os modelos), iPhone 7 (todos os modelos), iPhone SE (1ª geração), iPad Air 2, iPad mini (4ª geração), e iPod touch (7ª geração).

MacOS Big Sur 11.7.10 e macOS Monterey 12.6.9.

O CVE-2023-41064 está relacionado a uma questão de estouro de buffer no componente de imagem I/O que pode levar à execução arbitrária de código ao processar uma imagem criada maliciosamente.

De acordo com o Citizen Lab, o CVE-2023-41064 teria sido usado em conjunto com o CVE-2023-41061 , uma questão de validação no Wallet, como parte de uma cadeia de exploração de iMessage de zero clique chamada BLASTPASS para implantar o Pegasus em iPhones totalmente atualizados rodando o iOS 16.6.

O fato de ambos os CVE-2023-41064 e CVE-2023-4863 girarem em torno do processamento de imagem e o último ter sido relatado pela Apple e pelo Citizen Lab sugere que pode haver uma possível conexão entre os dois.

Os usuários são recomendados a atualizarem para a versão 116.0.5845.187/.188 do Chrome para Windows e 116.0.5845.187 para macOS e Linux para mitigar potenciais ameaças.

Aqueles que usam navegadores baseados em Chromium como Microsoft Edge, Brave, Opera e Vivaldi também são aconselhados a aplicar as correções assim que elas estiverem disponíveis.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...