Google lança patch para vulnerabilidade de dia zero explorada ativamente. Atualize o Chrome agora.
O Google lançou na quarta-feira correções para resolver um novo dia zero explorado ativamente no navegador Chrome.
Rastreada como CVE-2023-5217 , a vulnerabilidade de alta gravidade foi descrita como um buffer overflow baseado em heap no formato de compactação VP8 em libvpx , uma biblioteca de codecs de vídeo de software livre do Google e da Alliance for Open Media (AOMedia).
A exploração de tais falhas de buffer overflow pode resultar em travamentos do programa ou na execução de código arbitrário, impactando sua disponibilidade e integridade.
Clément Lecigne, do Threat Analysis Group (TAG) do Google, foi creditado por descobrir e relatar a falha em 25 de setembro de 2023, com a colega pesquisadora Maddie Stone observando no X (anteriormente Twitter) que ela foi abusada por um fornecedor comercial de spyware para atingir altas -indivíduos de risco.
Nenhum detalhe adicional foi divulgado pela gigante da tecnologia, a não ser reconhecer que está “ciente de que existe uma exploração para CVE-2023-5217 à solta”.
A descoberta mais recente eleva para cinco o número de vulnerabilidades de dia zero no Google Chrome para as quais foram lançados patches este ano –
- CVE-2023-2033 (pontuação CVSS: 8,8) – Confusão de tipo na V8
- CVE-2023-2136 (pontuação CVSS: 9,6) – Estouro de número inteiro em Skia
- CVE-2023-3079 (pontuação CVSS: 8,8) – Confusão de tipo na V8
- CVE-2023-4863 (pontuação CVSS: 8,8) – Estouro de buffer de heap no WebP
Também se suspeita que o fabricante israelense de spyware Cytrox possa ter explorado uma vulnerabilidade do Chrome recentemente corrigida (CVE-2023-4762, pontuação CVSS: 8,8) como um dia zero para entregar o Predator, embora muito pouca informação esteja disponível atualmente sobre o in-the -ataques selvagens.
O desenvolvimento ocorre no momento em que o Google atribui um novo identificador CVE, CVE-2023-5129 , à falha crítica na biblioteca de imagens libwebp – originalmente rastreada como CVE-2023-4863 – que está sob exploração ativa na natureza, considerando seu amplo ataque. superfície.
Recomenda-se que os usuários atualizem para a versão 117.0.5938.132 do Chrome para Windows, macOS e Linux para mitigar ameaças potenciais. Os usuários de navegadores baseados em Chromium, como Microsoft Edge, Brave, Opera e Vivaldi, também são aconselhados a aplicar as correções conforme e quando estiverem disponíveis.
Atualizar#
A Mozilla lançou na quinta-feira atualizações do Firefox para corrigir CVE-2023-5217, observando que “o manuseio específico de um fluxo de mídia VP8 controlado por um invasor pode levar a um estouro de buffer de heap no processo de conteúdo”. O problema foi resolvido nas versões Firefox 118.0.1, Firefox ESR 115.3.1, Firefox Focus para Android 118.1 e Firefox para Android 118.1.
Fonte: The Hackers News
- A revolução tecnológica dos meios de pagamento
- Botnet Mirai: eletrodomésticos podem atacar usuários?
- Brasil sofreu cerca de 1.600 ataques de ransomware no primeiro semestre de 2023.
- LGPD e retenção de dados: como gerenciar e armazenar de forma segura?
- Brasil perde R$ 4,5 milhões ao dia sem soluções de autenticação digital
- Cuidado com quem você compartilha seus dados na internet
- Check Point Software analisa o grupo de malware Qakbot
- Dois terços das vítimas de golpes digitais no 2º trimestre foram homens
- Ataque cibernético é “inimigo número um” de empresas no mundo digital
- Vulnerabilidade crítica da Trend Micro explorada
- Gestão de dados: entenda os benefícios e alinhe às suas estratégias de marketing
- Netskope reúne especialistas para impulsionar a presença de mulheres na TI
Deixe sua opinião!