O Google corrige mais um zero-day do Chrome ativamente explorado
19 de Abril de 2023

O Google lançou uma atualização de segurança para o navegador web Chrome para corrigir a segunda vulnerabilidade zero-day encontrada e explorada em ataques este ano.

"O Google tem conhecimento de que um exploit para CVE-2023-2136 existe ", diz o boletim de segurança da empresa.

A nova versão é 112.0.5615.137 e corrige um total de oito vulnerabilidades.

A versão estável está disponível apenas para usuários do Windows e Mac, com a versão Linux a ser lançada em breve, diz o Google.

Para iniciar manualmente o procedimento de atualização do Chrome para a versão mais recente que aborda o problema de segurança explorado ativamente, vá ao menu de configurações do Chrome (canto superior direito) e selecione Ajuda → Sobre o Google Chrome.

Caso contrário, as atualizações são instaladas na próxima vez que o navegador for iniciado sem exigir intervenção do usuário.

É necessário reiniciar o aplicativo para concluir a atualização.

CVE-2023-2136 é uma vulnerabilidade de transbordo de inteiro de alta gravidade em Skia, uma biblioteca gráfica 2D multiplataforma de código aberto de propriedade do Google escrita em C ++.

O Skia fornece ao Chrome um conjunto de APIs para renderizar gráficos, texto, formas, imagens e animações, e é considerado um componente-chave do pipeline de renderização do navegador.

Bugs de transbordo de inteiro ocorrem quando uma operação resulta em um valor que excede o máximo para um determinado tipo de inteiro, muitas vezes levando a comportamento inesperado do software ou tendo implicações de segurança.

No contexto do Skia, pode levar a renderização incorreta, corrupção de memória e execução arbitrária de código que leva a acesso não autorizado ao sistema.

A vulnerabilidade foi relatada por Clément Lecigne do Google's Threat Analysis Group (TAG) neste mês.

Seguindo sua prática padrão ao corrigir falhas exploradas ativamente no Chrome, o Google não divulgou muitos detalhes sobre como CVE-2023-2136 foi usada em ataques, deixando aberta a especulação sobre o método de exploração e os riscos relacionados.

Isso permite que os usuários atualizem seu software para a versão mais segura antes de compartilhar detalhes técnicos que possam permitir que atores de ameaças desenvolvam seus próprios exploits.

"O acesso a detalhes e links de bugs pode ser mantido restrito até que a maioria dos usuários seja atualizada com uma correção", diz o boletim de segurança.

Na última sexta-feira, o Google lançou outra atualização de emergência do Chrome para corrigir CVE-2023-2033 , a primeira vulnerabilidade explorada ativamente no navegador descoberta em 2023.

Essas falhas são tipicamente aproveitadas por atores de ameaças avançados, na maioria das vezes patrocinados pelo estado, que visam indivíduos de alto perfil que trabalham em governos, mídia ou outras organizações críticas.

Portanto, é recomendável que todos os usuários do Chrome apliquem a atualização disponível o mais rápido possível.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...