O Google lançou uma atualização de segurança para o navegador web Chrome para corrigir a segunda vulnerabilidade zero-day encontrada e explorada em ataques este ano.
"O Google tem conhecimento de que um exploit para
CVE-2023-2136
existe ", diz o boletim de segurança da empresa.
A nova versão é 112.0.5615.137 e corrige um total de oito vulnerabilidades.
A versão estável está disponível apenas para usuários do Windows e Mac, com a versão Linux a ser lançada em breve, diz o Google.
Para iniciar manualmente o procedimento de atualização do Chrome para a versão mais recente que aborda o problema de segurança explorado ativamente, vá ao menu de configurações do Chrome (canto superior direito) e selecione Ajuda → Sobre o Google Chrome.
Caso contrário, as atualizações são instaladas na próxima vez que o navegador for iniciado sem exigir intervenção do usuário.
É necessário reiniciar o aplicativo para concluir a atualização.
CVE-2023-2136
é uma vulnerabilidade de transbordo de inteiro de alta gravidade em Skia, uma biblioteca gráfica 2D multiplataforma de código aberto de propriedade do Google escrita em C ++.
O Skia fornece ao Chrome um conjunto de APIs para renderizar gráficos, texto, formas, imagens e animações, e é considerado um componente-chave do pipeline de renderização do navegador.
Bugs de transbordo de inteiro ocorrem quando uma operação resulta em um valor que excede o máximo para um determinado tipo de inteiro, muitas vezes levando a comportamento inesperado do software ou tendo implicações de segurança.
No contexto do Skia, pode levar a renderização incorreta, corrupção de memória e execução arbitrária de código que leva a acesso não autorizado ao sistema.
A vulnerabilidade foi relatada por Clément Lecigne do Google's Threat Analysis Group (TAG) neste mês.
Seguindo sua prática padrão ao corrigir falhas exploradas ativamente no Chrome, o Google não divulgou muitos detalhes sobre como
CVE-2023-2136
foi usada em ataques, deixando aberta a especulação sobre o método de exploração e os riscos relacionados.
Isso permite que os usuários atualizem seu software para a versão mais segura antes de compartilhar detalhes técnicos que possam permitir que atores de ameaças desenvolvam seus próprios exploits.
"O acesso a detalhes e links de bugs pode ser mantido restrito até que a maioria dos usuários seja atualizada com uma correção", diz o boletim de segurança.
Na última sexta-feira, o Google lançou outra atualização de emergência do Chrome para corrigir
CVE-2023-2033
, a primeira vulnerabilidade explorada ativamente no navegador descoberta em 2023.
Essas falhas são tipicamente aproveitadas por atores de ameaças avançados, na maioria das vezes patrocinados pelo estado, que visam indivíduos de alto perfil que trabalham em governos, mídia ou outras organizações críticas.
Portanto, é recomendável que todos os usuários do Chrome apliquem a atualização disponível o mais rápido possível.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...