O Google lançou atualizações de segurança para o navegador web Chrome para corrigir uma falha grave de zero-day que, segundo a empresa, foi explorada em campo.
A vulnerabilidade, com o identificador CVE atribuído como CVE-2023-7024, tem sido descrita como um erro de buffer overflow baseado em heap no framework WebRTC que poderia ser explorado para resultar em crashes de programas ou execução arbitrária de código.
Clément Lecigne e Vlad Stolyarov do Google's Threat Analysis Group (TAG) foram creditados pela descoberta e relato da falha em 19 de dezembro de 2023.
Nenhum outro detalhe sobre o defeito de segurança foi divulgado para evitar mais abusos, com o Google reconhecendo que "um exploit para CVE-2023-7024 existe em campo".
O desenvolvimento marca a resolução do oitavo zero-day ativamente explorado no Chrome desde o início do ano:
CVE-2023-2033
(pontuação CVSS: 8.8) - Confusão de tipo em V8
CVE-2023-2136
(pontuação CVSS: 9.6) - Overflow de inteiro em Skia
CVE-2023-3079
(pontuação CVSS: 8.8) - Confusão de tipo em V8
CVE-2023-4762
(pontuação CVSS: 8.8) - Confusão de tipo em V8
CVE-2023-4863
(pontuação CVSS: 8.8) - Buffer overflow de heap em WebP
CVE-2023-5217
(pontuação CVSS: 8.8) - Buffer overflow de heap em codificação vp8 em libvpx
CVE-2023-6345
(pontuação CVSS: 9.6) - Overflow de inteiro em Skia
Um total de 26.447 vulnerabilidades foram divulgadas até agora em 2023, superando o ano anterior em mais de 1.500 CVEs, de acordo com dados compilados pela Qualys, com 115 falhas exploradas por agentes de ameaças e grupos de ransomware.
Execução remota de código, bypass de recurso de segurança, manipulação de buffer, escalonamento de privilégios e falhas de validação e análise de entrada surgiram como os principais tipos de vulnerabilidade.
Os usuários são recomendados a atualizar para a versão 120.0.6099.129/130 do Chrome para Windows e 120.0.6099.129 para macOS e Linux para mitigar possíveis ameaças.
Os usuários de navegadores baseados em Chromium, como Microsoft Edge, Brave, Opera e Vivaldi também são aconselhados a aplicarem as correções à medida que ficarem disponíveis.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...