Parece notícia repetida, mas não é, Google corrigiu a quinta falha zero-day do Chrome de 2023. Confira os detalhes dessa ameaça.
Sim. O Google corrigiu a quinta vulnerabilidade zero-day do Chrome explorada em ataques desde o início do ano em atualizações de segurança de emergência lançadas hoje.
Google corrigiu a quinta falha zero-day do Chrome de 2023
A vulnerabilidade de segurança é abordada no Google Chrome 117.0.5938.132, lançado mundialmente para usuários de Windows, Mac e Linux no canal Stable Desktop.
“O Google está ciente de que existe uma exploração para CVE-2023-5217”, revelou a empresa em um comunicado de segurança publicado na quarta-feira.
Embora o comunicado diga que provavelmente levará dias ou semanas até que a versão corrigida alcance toda a base de usuários, a atualização foi disponibilizada imediatamente quando o site BleepingComputer verificou se há atualizações.
O navegador da web também verificará automaticamente se há novas atualizações e as instalará automaticamente após o próximo lançamento.
Explorado em ataques de spyware
A vulnerabilidade zero-day de alta gravidade (CVE-2023-5217) é causada por uma fraqueza de estouro de buffer de heap na codificação VP8 da biblioteca de codecs de vídeo libvpx de código aberto, uma falha cujo impacto varia de travamentos de aplicativos até execução arbitrária de código.
O bug foi relatado pelo pesquisador de segurança do Google Threat Analysis Group (TAG), Clément Lecigne, na segunda-feira, 25 de setembro.
Os pesquisadores do Google TAG são conhecidos por frequentemente encontrar e relatar abusos zero-day em ataques de spyware direcionados por agentes de ameaças patrocinados pelo governo e grupos de hackers que visam indivíduos de alto risco, como jornalistas e políticos da oposição.
Agora, Maddie Stone do Google TAG revelou que a vulnerabilidade zero-day CVE-2023-5217 foi explorada para instalar spyware.
Com pesquisadores do Citizen Lab, o Google TAG também divulgou na sexta-feira que três zero-day corrigidos pela Apple na quinta-feira passada foram usados para instalar o spyware Predator da Cytrox entre maio e setembro de 2023.
Embora o Google tenha dito hoje que a zero-day CVE-2023-5217 foi explorado em ataques, a empresa ainda não compartilhou mais informações sobre esses incidentes.
O Google disse que:
“O acesso a detalhes e links de bugs pode ser mantido restrito até que a maioria dos usuários seja atualizada com uma correção. Também manteremos restrições se o bug existir em uma biblioteca de terceiros da qual outros projetos dependem de forma semelhante, mas ainda não foram corrigidos.”
Como resultado direto, os usuários do Google Chrome terão tempo suficiente para atualizar seus navegadores como medida preventiva contra possíveis ataques.
Esta abordagem proativa pode ajudar a mitigar o risco de os agentes de ameaças criarem as suas próprias explorações e implementá-las em cenários do mundo real, especialmente à medida que mais detalhes técnicos se tornam disponíveis.
O Google corrigiu outro zero-day (rastreado como CVE-2023-4863) explorado em estado selvagem há duas semanas, o quarto desde o início do ano.
Embora inicialmente tenha marcado isso como uma falha do Chrome, a empresa posteriormente atribuiu outro CVE (CVE-2023-5129) e uma classificação de gravidade máxima de 10/10, marcando-o como uma vulnerabilidade crítica de segurança no libwebp (uma biblioteca usada por um grande número de projetos, incluindo Signal, 1Password, Mozilla Firefox, Microsoft Edge, Safari da Apple e o navegador Android nativo).