A Google lançou uma atualização de segurança para o Chrome para resolver a terceira vulnerabilidade de dia zero que os criminosos exploraram este ano. No boletim de segurança pode ler-se que a Google tem conhecimento de que existe um exploit para a CVE-2023-3079. Entretanto a empresa não divulgou pormenores sobre a exploração. Nem a forma como se utiliza nos ataques. Dito isto, limitou a informação à gravidade da falha e ao seu tipo. Como tal se quer continuar no Chrome sem perigo faça já isto!
Se quer continuar no Chrome sem perigo faça já isto!
A retenção de informações técnicas é a postura habitual do Google. Sobretudo quando se encontra um novo problema de segurança. O objetivo é proteger os utilizadores. Pelo menos até que a maioria deles migre para a versão segura. Tudo porque os utilizadores adversários poderiam utilizar os detalhes para desenvolver outras explorações.
Como refere o gigante dos motores de busca “o acesso aos detalhes e links dos erros pode manter-se restrito até que a maioria dos utilizadores receba uma correção. Também manteremos restrições se o erro existir numa biblioteca de terceiros da qual outros projectos dependam de forma semelhante, mas que ainda não tenham sido corrigidos”.
O CVE-2023-3079 trata-se de um problema de alta gravidade e foi descoberto pelo investigador da Google Clément Lecigne a 1 de Junho de 2023. A falha está no motor JavaScript do Chrome encarregado de executar código dentro do navegador.
O erro em questão surge quando o motor interpreta mal o tipo de um objeto durante o tempo de execução, podendo levar à manipulação maliciosa de memória e à execução arbitrária de código.
A primeira vulnerabilidade zero day que a Google corrigiu no Chrome este ano foi a CVE-2023-2033, que é também uma falha semelhante no mesmo motor.
Alguns dias depois, a Google lançou uma atualização de segurança de emergência para o Chrome para corrigir a CVE-2023-2136, uma vulnerabilidade ativamente explorada que afeta a biblioteca de gráficos 2D do browser.
As vulnerabilidades zero day são muitas vezes exploradas por agentes de ameaças sofisticados patrocinados pelos Estados. Visam principalmente figuras de alto nível do governo, dos meios de comunicação social ou de outras organizações vitais. Por conseguinte, recomenda-se vivamente que todos os utilizadores do Chrome instalem a atualização de segurança disponível o mais rapidamente possível.
Entretanto além de corrigir esta falha, a versão mais recente do Chrome aborda vários problemas descobertos a partir de auditorias internas e análise de código.
A Google afirma que a atualização chega nos próximos dias/semanas, pelo que se trata de uma distribuição gradual que não chegará a todos em simultâneo.
