Ainda que pareça notícia antiga, não é, pois foi corrigida a oitava falha zero-day do Chrome deste ano. Confira os detalhes dessa correção.
Lançado pela primeira vez no dia 2 de setembro de 2008, para o Microsoft Windows, e mais tarde foi portado para Linux, Mac, iOS e Android, o Google Chrome é um navegador de internet desenvolvido pela Google.
Agora, o Google lançou atualizações de emergência para corrigir outra vulnerabilidade zero-day do Chrome explorada ativamente, a oitava corrigida desde o início do ano.
Corrigida a oitava falha zero-day do Chrome deste ano
O bug foi descoberto e relatado por Clément Lecigne e Vlad Stolyarov do Threat Analysis Group (TAG) do Google, um coletivo de especialistas em segurança cujo objetivo principal é defender os clientes do Google contra ataques patrocinados pelo Estado.
O Threat Analysis Group (TAG) do Google descobre frequentemente bugs zero-day explorados por agentes de ameaças patrocinados pelo governo em ataques direcionados com o objetivo de implantar spyware em dispositivos de indivíduos de alto risco, incluindo políticos da oposição, dissidentes e jornalistas.
“O Google está ciente de que existe uma exploração para CVE-2023-7024”, disse um comunicado de segurança publicado na quarta-feira.
A empresa corrigiu o bug zero-day para usuários do canal Stable Desktop, com versões corrigidas sendo lançadas mundialmente para usuários de indows (120.0.6099.129/130) e usuários de Mac e Linux (120.0.6099.129) um dia após serem relatadas ao Google.
Embora a atualização de segurança possa levar dias ou semanas para chegar a todos os usuários, de acordo com o Google, ela estava disponível imediatamente quando o BleepingComputer verificou se havia atualizações hoje cedo.
Indivíduos que preferem não atualizar manualmente podem contar com seu navegador para verificar automaticamente se há novas atualizações e instalá-las na próxima inicialização.
A vulnerabilidade zero-day de alta gravidade (CVE-2023-7024) é devido a uma fraqueza de heap buffer overflow na estrutura WebRTC de código aberto de muitos outros navegadores da web, como Mozilla Firefox, Safari e Microsoft Edge, para fornecer Real- Recursos de Time Communications (RTC) (por exemplo, streaming de vídeo, compartilhamento de arquivos e telefonia VoIP) por meio de APIs JavaScript.
Embora o Google saiba que o CVE-2023-7024 foi explorado como um zero-day, ele ainda não compartilhou mais detalhes sobre esses incidentes.
“O acesso a detalhes e links de bugs pode ser mantido restrito até que a maioria dos usuários seja atualizada com uma correção”, disse o Google.
“Também manteremos restrições se o bug existir em uma biblioteca de terceiros da qual outros projetos dependem de forma semelhante, mas ainda não foram corrigidos.”
Isto visa reduzir a probabilidade de os agentes de ameaças desenvolverem as suas próprias explorações CVE-2023-7024, impedindo-os de tirar partido de informações técnicas recentemente divulgadas.
Anteriormente, o Google corrigiu sete outros ataques zero-day explorados, rastreados como CVE-2023-6345, CVE-2023-5217, CVE-2023-4863, CVE-2023-3079, CVE-2023-4762, CVE-2023-2136, e CVE-2023-2033.
Alguns deles, como CVE-2023-4762, foram marcados como bugs zero-day usados para implantar spyware semanas após a empresa lançar patches.