O Google lançou uma atualização de segurança para uma vulnerabilidade crítica de dia zero do Chrome (CVE-2023-4863) explorada em estado selvagem.
Sobre a vulnerabilidade (CVE-2023-4863)
CVE-2023-4863 é uma vulnerabilidade crítica de estouro de buffer de heap no WebP, um formato de arquivo gráfico raster que substitui os formatos de arquivo JPEG, PNG e GIF.
Estouros de buffer podem causar travamentos, loops infinitos e podem ser usados para executar código arbitrário.
“Os canais estáveis Stable e Extended foram atualizados para 116.0.5845.187 para Mac e Linux e 116.0.5845.187/.188 para Windows, que será lançado nos próximos dias/semanas”, informou o Google .
O Chrome geralmente aplica a atualização automaticamente quando os usuários fecham e reabrem o navegador. Se o navegador não for fechado há algum tempo, os usuários verão um ícone colorido indicando uma atualização pendente . Os usuários de Mac também podem configurar atualizações automáticas do navegador.
Exploração
O Google diz que CVE-2023-4863 foi ativamente explorado em estado selvagem e foi relatado pela Apple Security Engineering and Architecture (SEAR) e pelo Citizen Lab da Munk School da Universidade de Toronto.
O Google ainda não revelou detalhes sobre o ataque, mas pede aos usuários que atualizem o navegador o mais rápido possível.
O Citizen Lab detectou recentemente duas vulnerabilidades de dia zero ( CVE-2023-41064, CVE-2023-41061 ) que afetam dispositivos Apple. As vulnerabilidades foram encadeadas para entregar o spyware Pegasus do Grupo NSO a alvos específicos de alto risco.
A Apple corrigiu uma ou ambas as vulnerabilidades nas versões mais recentes e mais antigas do iOS, iPadOS, macOS e watchOS, e aconselhou os indivíduos que enfrentam um risco elevado de ataques cibernéticos direcionados a ativar o modo de bloqueio.
ATUALIZAÇÃO (13 de setembro de 2023, 04h20 horário do leste dos EUA):
A Mozilla corrigiu a mesma falha no Firefox, Firefox ESR e Thunderbird.
“Abrir uma imagem WebP maliciosa pode levar a um estouro de buffer de heap no processo de conteúdo. Estamos cientes de que esse problema está sendo explorado em outros produtos na natureza”, comentaram .
FONTE: HELP NET SECURITY