Google lança patch para vulnerabilidade de dia zero explorada ativamente

Google lança patch para vulnerabilidade de dia zero explorada ativamente. Atualize o Chrome agora. 

O Google lançou na quarta-feira correções para resolver um novo dia zero explorado ativamente no navegador Chrome.

Rastreada como CVE-2023-5217 , a vulnerabilidade de alta gravidade foi descrita como um buffer overflow baseado em heap no formato de compactação VP8 em libvpx , uma biblioteca de codecs de vídeo de software livre do Google e da Alliance for Open Media (AOMedia).

A exploração de tais falhas de buffer overflow pode resultar em travamentos do programa ou na execução de código arbitrário, impactando sua disponibilidade e integridade.

Clément Lecigne, do Threat Analysis Group (TAG) do Google, foi creditado por descobrir e relatar a falha em 25 de setembro de 2023, com a colega pesquisadora Maddie Stone observando no X (anteriormente Twitter) que ela foi abusada por um fornecedor comercial de spyware para atingir altas -indivíduos de risco.

Nenhum detalhe adicional foi divulgado pela gigante da tecnologia, a não ser reconhecer que está “ciente de que existe uma exploração para CVE-2023-5217 à solta”.

A descoberta mais recente eleva para cinco o número de vulnerabilidades de dia zero no Google Chrome para as quais foram lançados patches este ano –

  • CVE-2023-2033 (pontuação CVSS: 8,8) – Confusão de tipo na V8
  • CVE-2023-2136 (pontuação CVSS: 9,6) – Estouro de número inteiro em Skia
  • CVE-2023-3079 (pontuação CVSS: 8,8) – Confusão de tipo na V8
  • CVE-2023-4863 (pontuação CVSS: 8,8) – Estouro de buffer de heap no WebP

Também se suspeita que o fabricante israelense de spyware Cytrox possa ter explorado uma vulnerabilidade do Chrome recentemente corrigida (CVE-2023-4762, pontuação CVSS: 8,8) como um dia zero para entregar o Predator, embora muito pouca informação esteja disponível atualmente sobre o in-the -ataques selvagens.

O desenvolvimento ocorre no momento em que o Google atribui um novo identificador CVE, CVE-2023-5129 , à falha crítica na biblioteca de imagens libwebp – originalmente rastreada como CVE-2023-4863 – que está sob exploração ativa na natureza, considerando seu amplo ataque. superfície.

Recomenda-se que os usuários atualizem para a versão 117.0.5938.132 do Chrome para Windows, macOS e Linux para mitigar ameaças potenciais. Os usuários de navegadores baseados em Chromium, como Microsoft Edge, Brave, Opera e Vivaldi, também são aconselhados a aplicar as correções conforme e quando estiverem disponíveis.

Atualizar#

A Mozilla lançou na quinta-feira atualizações do Firefox para corrigir CVE-2023-5217, observando que “o manuseio específico de um fluxo de mídia VP8 controlado por um invasor pode levar a um estouro de buffer de heap no processo de conteúdo”. O problema foi resolvido nas versões Firefox 118.0.1, Firefox ESR 115.3.1, Firefox Focus para Android 118.1 e Firefox para Android 118.1.

Fonte: The Hackers News
Veja também:
 
 
Sobre mindsecblog 2483 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

7 Trackbacks / Pingbacks

  1. Mês da cibersegurança – o que comemorar? | Minuto da Segurança da Informação
  2. Campanha massiva de RCE transforma roteadores em botnet | Minuto da Segurança da Informação
  3. Campanha do Dropbox rouba credenciais do Microsoft SharePoint | Minuto da Segurança da Informação
  4. SENAC Cursos TI 100% gratuitos | Minuto da Segurança da Informação
  5. Hackers sequestram páginas de login do Citrix NetScaler para roubar credenciais | Minuto da Segurança da Informação
  6. Google torna as chaves de acesso o login padrão para contas pessoais | Minuto da Segurança da Informação
  7. Hackers modificam páginas 404 de lojas online para roubar cartões de crédito | Minuto da Segurança da Informação

Deixe sua opinião!