0
0
O Google corrigiu outra vulnerabilidade crítica de dia zero (CVE-2023-5217) no Chrome que está sendo explorada à solta.
Sobre CVE-2023-5217
A vulnerabilidade é causada por um buffer overflow na codificação vp8 em libvpx – uma biblioteca de codecs de vídeo do Google e da Alliance for Open Media (AOMedia).
CVE-2023-5217 foi corrigido no Google Chrome 117.0.5938.132 para usuários de Windows, Mac e Linux.
O Google observou que a exploração para CVE-2023-5217 existe à solta, portanto, recomenda-se que os usuários atualizem o mais rápido possível.
“O acesso aos detalhes e links do bug pode ser mantido restrito até que a maioria dos usuários seja atualizada com uma correção. Também manteremos restrições se o bug existir em uma biblioteca de terceiros da qual outros projetos dependem de forma semelhante, mas ainda não foram corrigidos”, disse o Google .
A vulnerabilidade foi relatada por Clément Lecigne, do Grupo de Análise de Ameaças do Google, em 25 de setembro. Conforme observado por sua colega Maddie Stone, a falha está sendo usada por um fornecedor de vigilância comercial.
Nesta última atualização, o Google também resolveu outras duas falhas de alta gravidade relatadas pelos pesquisadores:
- CVE-2023-5186 – Uma vulnerabilidade de uso pós-livre (UAF) em senhas
- CVE-2023-5187 – Uma vulnerabilidade de uso pós-livre (UAF) em extensões
Dia zero explorado recentemente
No início deste mês, a Apple corrigiu duas vulnerabilidades de dia zero ( CVE-2023-41064, CVE-2023-41061 ) encadeadas e exploradas para entregar o spyware Pegasus do Grupo NSO a alvos de alto risco.
CVE-2023-41064 – uma vulnerabilidade de buffer overflow na estrutura ImageI/O – acabou sendo efetivamente a mesma falha que CVE-2023-4863 – uma vulnerabilidade de buffer overflow de heap de dia zero do Chrome no WebP, porque a fonte do vulnerabilidade é a biblioteca libwebp que ambas as empresas implementaram.
O Google primeiro criou um novo ID CVE para a falha no libwebp ( CVE-2023-5129 ), mas logo foi rejeitado ou retirado por ser uma duplicata do CVE-2023-4863.
ATUALIZAÇÃO (29 de setembro de 2023, 10h05 ET):
A Mozilla corrigiu CVE-2023-5217 no Firefox, Firefox ESR, Firefox para Android e Firefox Focus para Android.
Assim como o libwebp, o libvpx é uma biblioteca amplamente usada, portanto, podemos esperar que uma enxurrada de atualizações de segurança em softwares populares seja lançada nos próximos dias.
ATUALIZAÇÃO (2 de outubro de 2023, 03h50 horário do leste dos EUA):
Libvpx v1.13.1, com correções para CVE-2023-5217 e CVE-2023-44488 (um problema com VP9 em libvpx antes de 1.13.1 que pode levar a uma falha relacionada à codificação), foi lançada .
FONTE: HELP NET SECURITY