Não há qualquer dúvida de que o Chrome é o browser mais utilizado do mundo. Isto deve-se sobretudo ao facto de ser rápido e funcionar bem. No entanto, isto não significa que não sejam necessários alguns cuidados. Dito isto, há um alerta vermelho para quem tem o Chrome e não pode mesmo ignorar. É que a Google corrigiu a sexta vulnerabilidade de dia zero do Chrome. Isto numa atualização de segurança de emergência lançada para evitar que os criminosos a possam aproveitar.
Alerta vermelho para quem está a utilizar o Google Chrome!
A empresa reconheceu a existência de um exploit para a falha de segurança (registada como CVE-2023-6345) num novo aviso de segurança. Ou seja, já está mesmo em utilização por criminosos. A vulnerabilidade foi abordada no canal Estável com versões corrigidas a chegarem globalmente para os utilizadores de Windows (119.0.6045.199/.200) e utilizadores de Mac e Linux (119.0.6045.199).
Embora o aviso revele que a atualização de segurança pode levar dias ou semanas para chegar a toda a base de utilizadores, a verdade é que já está disponível para a grande maioria.
Esta vulnerabilidade de alta gravidade resulta de uma falha na biblioteca gráfica 2D de código aberto Skia. Assim apresenta riscos que vão desde falhas à execução de código arbitrário.
O bug foi relatado na sexta-feira, 24 de novembro, por Benoît Sevens e Clément Lecigne. São dois investigadores de segurança do Grupo de Análise de Ameaças do Google (TAG).
O TAG da Google é conhecido por descobrir “zero-days”, muitas vezes explorados por grupos de criminosos patrocinados por organizações estatais em campanhas de spyware que visam indivíduos de alto perfil, como jornalistas e políticos da oposição.
A empresa declarou que o acesso a estas informações permanecerá restrito até que a maioria dos utilizadores tenha atualizado os seus browsers.
Entretanto o objetivo é reduzir a probabilidade de os agentes de ameaças desenvolverem as suas próprias explorações CVE-2023-6345, tirando partido das informações técnicas recentemente divulgadas sobre a vulnerabilidade.
Em setembro, a Google corrigiu dois outros zero-days (identificados como CVE-2023-5217 e CVE-2023-4863) explorados em ataques. Foram o quarto e o quinto desde o início de 2023.
