Lançada recentemente, a mais nova atualização do Chrome corrige outra falha zero-day. Confira os detalhes desse update e da ameaça.
O Google lançou atualizações de segurança de emergência para corrigir a quarta vulnerabilidade zero-day do Chrome explorada em ataques desde o início do ano.
Nova atualização do Chrome corrige outra falha zero-day
A nova versão está sendo lançada para usuários nos canais Stable e Extended Stable, e estima-se que alcançará toda a base de usuários nos próximos dias ou semanas.
“O Google está ciente de que existe uma exploração para CVE-2023-4863”, revelou a empresa em um comunicado de segurança publicado na segunda-feira.
Os usuários do Chrome são aconselhados a atualizar seu navegador para a versão 116.0.5845.187 (Mac e Linux) e 116.0.5845.187/.188 (Windows) o mais rápido possível, pois corrige a vulnerabilidade CVE-2023-4863 no Windows, Mac e Sistemas Linux.
Esta atualização foi disponibilizada imediatamente quando o BleepingComputer verificou se havia novas atualizações no menu do Chrome > Ajuda > Sobre o Google Chrome.
O navegador da web também verificará novas atualizações e as instalará automaticamente sem exigir interação do usuário após a reinicialização.
A vulnerabilidade zero-day crítica (CVE-2023-4863) é causada por uma fraqueza de estouro de buffer de heap WebP cujo impacto varia de travamentos à execução arbitrária de código.
O bug foi relatado pela Apple Security Engineering and Architecture (SEAR) e pelo Citizen Lab da Munk School da Universidade de Toronto na última quarta-feira, 6 de setembro.
Os pesquisadores de segurança do Citizen Lab frequentemente encontraram e divulgaram bugs zero-day abusados em ataques de spyware altamente direcionados por atores de ameaças apoiados pelo governo, visando indivíduos de alto risco, como políticos da oposição, jornalistas e dissidentes em todo o mundo.
Na quinta-feira, a Apple corrigiu dois zero-day marcados pelo Citizen Lab como sendo explorados em ataques como parte de uma cadeia de exploração conhecida como BLASTPASS para infectar iPhones totalmente corrigidos com o spyware mercenário Pegasus do Grupo NSO.
Embora o Google tenha dito que o zero-day CVE-2023-4863 foi explorado à solta, a empresa ainda não compartilhou mais detalhes sobre esses ataques.
Google disse apenas que:
“O acesso a detalhes e links de bugs pode ser mantido restrito até que a maioria dos usuários seja atualizada com uma correção. Também manteremos restrições se o bug existir em uma biblioteca de terceiros da qual outros projetos dependem de forma semelhante, mas ainda não foram corrigidos.”
Isso significa que os usuários do Chrome podem atualizar seus navegadores para impedir ataques antes do lançamento de especificações técnicas adicionais, o que poderia permitir que mais agentes de ameaças criassem suas próprias explorações e as implantassem em estado selvagem.
