O Google acaba de corrigir a quinta vulnerabilidade de zero dia do seu navegador Chrome. Essa vulnerabilidade explorada em ataques desde o início do ano em atualizações de segurança de emergência lançadas hoje.
De acordo com um comunicado de segurança publicado na última quarta-feira pelo Google, a empresa está ciente de que existe uma exploração para CVE-2023-5217. A vulnerabilidade de segurança é abordada no Google Chrome 117.0.5938.132, lançado mundialmente para usuários de Windows, Mac e Linux no canal Stable Desktop.
Embora o comunicado diga que provavelmente levará dias ou semanas até que a versão corrigida alcance toda a base de usuários, a atualização foi disponibilizada imediatamente quando o BleepingComputer verificou se havia atualizações, afirma o site.
O navegador da web também verificará automaticamente se há novas atualizações e as instalará automaticamente após o próximo lançamento.
Vulnerabilidade de zero dia corrigida no Google Chrome
A vulnerabilidade de dia zero de alta gravidade (CVE-2023-5217) é causada por uma fraqueza de estouro de buffer de heap na codificação VP8 da biblioteca de codecs de vídeo libvpx de código aberto, uma falha cujo impacto varia de travamentos de aplicativos até execução arbitrária de código. Essa vulnerabilidade foi relatada pelo pesquisador de segurança do Google Threat Analysis Group (TAG), Clément Lecigne, na segunda-feira, 25 de setembro.
Os pesquisadores do Google TAG são conhecidos por frequentemente encontrar e relatar abusos de dia zero em ataques de spyware direcionados por agentes de ameaças patrocinados pelo governo e grupos de hackers que visam indivíduos de alto risco, como jornalistas e políticos da oposição. Ontem, Maddie Stone do Google TAG revelou que a vulnerabilidade de dia zero CVE-2023-5217 foi explorada para instalar spyware.
Com pesquisadores do Citizen Lab, o Google TAG também divulgou na sexta-feira que três dias zero corrigidos pela Apple na quinta-feira passada foram usados para instalar o spyware Predator da Cytrox entre maio e setembro de 2023.
Embora o Google tenha dito hoje que o dia zero CVE-2023-5217 foi explorado em ataques, a empresa ainda não compartilhou mais informações sobre esses incidentes. Como resultado direto, os usuários do Google Chrome terão tempo suficiente para atualizar seus navegadores como medida preventiva contra possíveis ataques.
Esta abordagem proativa pode ajudar a mitigar o risco de os agentes de ameaças criarem as suas próprias explorações e implementá-las em cenários do mundo real, especialmente à medida que mais detalhes técnicos se tornam disponíveis. Instale a atualização agora mesmo no seu Chrome.