Urgente: Nova Vulnerabilidade Zero-Day no Chrome Explorada - Atualize o mais rápido possível
21 de Dezembro de 2023

O Google lançou atualizações de segurança para o navegador web Chrome para corrigir uma falha grave de zero-day que, segundo a empresa, foi explorada em campo.

A vulnerabilidade, com o identificador CVE atribuído como CVE-2023-7024, tem sido descrita como um erro de buffer overflow baseado em heap no framework WebRTC que poderia ser explorado para resultar em crashes de programas ou execução arbitrária de código.

Clément Lecigne e Vlad Stolyarov do Google's Threat Analysis Group (TAG) foram creditados pela descoberta e relato da falha em 19 de dezembro de 2023.


Nenhum outro detalhe sobre o defeito de segurança foi divulgado para evitar mais abusos, com o Google reconhecendo que "um exploit para CVE-2023-7024 existe em campo".

O desenvolvimento marca a resolução do oitavo zero-day ativamente explorado no Chrome desde o início do ano:

CVE-2023-2033 (pontuação CVSS: 8.8) - Confusão de tipo em V8
CVE-2023-2136 (pontuação CVSS: 9.6) - Overflow de inteiro em Skia
CVE-2023-3079 (pontuação CVSS: 8.8) - Confusão de tipo em V8
CVE-2023-4762 (pontuação CVSS: 8.8) - Confusão de tipo em V8
CVE-2023-4863 (pontuação CVSS: 8.8) - Buffer overflow de heap em WebP
CVE-2023-5217 (pontuação CVSS: 8.8) - Buffer overflow de heap em codificação vp8 em libvpx
CVE-2023-6345 (pontuação CVSS: 9.6) - Overflow de inteiro em Skia

Um total de 26.447 vulnerabilidades foram divulgadas até agora em 2023, superando o ano anterior em mais de 1.500 CVEs, de acordo com dados compilados pela Qualys, com 115 falhas exploradas por agentes de ameaças e grupos de ransomware.

Execução remota de código, bypass de recurso de segurança, manipulação de buffer, escalonamento de privilégios e falhas de validação e análise de entrada surgiram como os principais tipos de vulnerabilidade.

Os usuários são recomendados a atualizar para a versão 120.0.6099.129/130 do Chrome para Windows e 120.0.6099.129 para macOS e Linux para mitigar possíveis ameaças.

Os usuários de navegadores baseados em Chromium, como Microsoft Edge, Brave, Opera e Vivaldi também são aconselhados a aplicarem as correções à medida que ficarem disponíveis.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...