Uma vulnerabilidade de dia zero com gravidade crítica foi descoberta no Google Chrome e corrigida em uma atualização de segurança de emergência do Chrome 116, após a observação de exploração em estado selvagem.
A vulnerabilidade foi relatada como “um estouro de buffer de heap no WebP”. Os estouros de buffer de heap ocorrem quando um aplicativo grava mais dados em um buffer de memória do que o buffer pode conter — isso pode causar falha no aplicativo, levando à possibilidade de execução arbitrária de código. Enquanto isso, WebP é um formato de imagem “que fornece compactação superior sem perdas e com perdas para imagens na Web”, o que significa que os desenvolvedores da Web podem usá-lo para criar imagens menores e mais ricas em comparação com imagens formatadas em JPEG e PNG. Por sua vez, isso permite que a Web funcione mais rapidamente. As imagens WebP são suportadas pela maioria dos navegadores modernos , como Chrome, Firefox, Safari, Edge e Opera.
O problema foi relatado pela Apple Security Engineering and Architecture (SEAR) e pelo cão de guarda de spyware The Citizen Lab em 6 de setembro, e o Google informou em seu comunicado esta semana que está ciente de que uma exploração do bug – rastreada como CVE- 2023-4863 – existe na natureza. Não forneceu detalhes sobre a natureza das campanhas ativas.
FONTE: DARKREADING