Chrome zero-day explorado em estado selvagem, atualize agora! (CVE-2023-4863)

Views: 188
0 0
Read Time:1 Minute, 48 Second

O Google lançou uma atualização de segurança para uma vulnerabilidade crítica de dia zero do Chrome (CVE-2023-4863) explorada em estado selvagem.

Sobre a vulnerabilidade (CVE-2023-4863)

CVE-2023-4863 é uma vulnerabilidade crítica de estouro de buffer de heap no WebP, um formato de arquivo gráfico raster que substitui os formatos de arquivo JPEG, PNG e GIF.

Estouros de buffer podem causar travamentos, loops infinitos e podem ser usados ​​para executar código arbitrário.

“Os canais estáveis ​​Stable e Extended foram atualizados para 116.0.5845.187 para Mac e Linux e 116.0.5845.187/.188 para Windows, que será lançado nos próximos dias/semanas”, informou o Google .

O Chrome geralmente aplica a atualização automaticamente quando os usuários fecham e reabrem o navegador. Se o navegador não for fechado há algum tempo, os usuários verão um ícone colorido indicando uma atualização pendente . Os usuários de Mac também podem configurar atualizações automáticas do navegador.

Exploração

O Google diz que CVE-2023-4863 foi ativamente explorado em estado selvagem e foi relatado pela Apple Security Engineering and Architecture (SEAR) e pelo Citizen Lab da Munk School da Universidade de Toronto.

O Google ainda não revelou detalhes sobre o ataque, mas pede aos usuários que atualizem o navegador o mais rápido possível.

O Citizen Lab detectou recentemente duas vulnerabilidades de dia zero ( CVE-2023-41064, CVE-2023-41061 ) que afetam dispositivos Apple. As vulnerabilidades foram encadeadas para entregar o spyware Pegasus do Grupo NSO a alvos específicos de alto risco.

A Apple corrigiu uma ou ambas as vulnerabilidades nas versões mais recentes e mais antigas do iOS, iPadOS, macOS e watchOS, e aconselhou os indivíduos que enfrentam um risco elevado de ataques cibernéticos direcionados a ativar o modo de bloqueio.

ATUALIZAÇÃO (13 de setembro de 2023, 04h20 horário do leste dos EUA):

A Mozilla corrigiu a mesma falha no Firefox, Firefox ESR e Thunderbird.

“Abrir uma imagem WebP maliciosa pode levar a um estouro de buffer de heap no processo de conteúdo. Estamos cientes de que esse problema está sendo explorado em outros produtos na natureza”, comentaram .

FONTE: HELP NET SECURITY

POSTS RELACIONADOS