Mais um dia, mais uma atualização em que o Google corrigiu uma nova falha zero-day do Chrome. Confira os detalhes dessa correção.
O Google lançou uma atualização de segurança para o navegador Chrome para corrigir a terceira vulnerabilidade zero-day que os hackers exploraram este ano.
Google corrigiu uma nova falha zero-day do Chrome
A empresa não divulgou detalhes sobre como o exploit e como foi usado nos ataques, limitando as informações à gravidade da falha e seu tipo.
“O Google está ciente de que existe um exploit para CVE-2023-3079”, diz o boletim de segurança.
Reter informações técnicas é a postura usual do Google quando um novo problema de segurança é encontrado. Isso é para proteger os usuários até que a maioria deles migrem para a versão segura, pois os adversários podem usar os detalhes para desenvolver exploits adicionais.
“O acesso aos detalhes e links do bug pode ser mantido restrito até que a maioria dos usuários seja atualizada com uma correção. Também manteremos as restrições se o bug existir em uma biblioteca de terceiros da qual outros projetos também dependam, mas ainda não foram corrigidos” – Google
O CVE-2023-3079 foi avaliado como um problema de alta gravidade e foi descoberto pelo pesquisador do Google Clément Lecigne em 1º de junho de 2023 e é uma confusão de tipo no V8, o mecanismo JavaScript do Chrome encarregado de executar o código no navegador.
Os erros de confusão de tipo surgem quando o mecanismo interpreta incorretamente o tipo de um objeto durante o tempo de execução, levando potencialmente à manipulação maliciosa da memória e à execução arbitrária do código.
A primeira vulnerabilidade zero-day que o Google corrigiu no Chrome este ano foi CVE-2023-2033, que também é um bug de confusão de tipo no mecanismo JavaScript V8.
Alguns dias depois, o Google lançou uma atualização de segurança de emergência para o Chrome para corrigir o CVE-2023-2136, uma vulnerabilidade explorada ativamente que afeta a biblioteca de gráficos 2D do navegador, Skia.
Vulnerabilidades zero-day são frequentemente exploradas por sofisticados agentes de ameaças patrocinados pelo estado, visando principalmente figuras de alto perfil dentro do governo, mídia ou outras organizações vitais.
Portanto, é altamente recomendável que todos os usuários do Chrome instalem a atualização de segurança disponível o mais rápido possível.
Juntamente com a correção de um novo zero-day, a versão mais recente do Chrome aborda vários problemas descobertos em auditorias internas e análises de fuzzing de código.
O Google diz que a atualização será lançada nos próximos dias/semanas, por isso é uma distribuição gradual que não atingirá todos simultaneamente.
Como atualizar o navegador Chrome
Para iniciar o procedimento de atualização do Chrome manualmente para a versão mais recente que aborda o problema de segurança explorado ativamente, vá para o menu de configurações do Chrome (canto superior direito) e selecione Ajuda → Sobre o Google Chrome.
É necessário reiniciar o aplicativo para concluir a atualização.
As atualizações de segurança disponíveis também são instaladas automaticamente na próxima vez que o navegador for iniciado sem a intervenção do usuário, portanto, verifique a página “Sobre” para garantir que você esteja executando a versão mais recente.
O novo lançamento do canal estável que aborda a falha que possui uma exploração em estado selvagem é a versão 114.0.5735.110 para Windows e 114.0.5735.106 para Mac e Linux.