Alke Sec

Novo Alerta de Vulnerabilidade Google Chrome:
CVE-2023-6345

Google implementou atualizações de segurança para corrigir sete problemas de segurança em seu navegador Chrome, incluindo uma vulnerabilidade zero-day que tem sido ativamente explorada.

Identificado como CVE-2023-6345, a vulnerabilidade de alta gravidade foi descrita como um bug de estouro de inteiro em Skia, uma biblioteca de gráficos 2D de código aberto.

Como é comum, o gigante das buscas reconheceu que “existe um exploit para o CVE-2023-6345 em circulação”, mas não divulgou informações adicionais sobre a natureza dos ataques e os atores de ameaças que podem estar utilizando-o em ataques do mundo real.

Vale notar que o Google lançou correções para uma falha semelhante de estouro de inteiro no mesmo componente (CVE-2023-2136) em abril de 2023, que também estava sendo ativamente explorada como zero-day, levantando a possibilidade de que o CVE-2023-6345 poderia ser uma forma de contornar a correção para o primeiro.

Diz-se que o CVE-2023-2136 “permitiu que um atacante remoto que comprometeu o processo do renderizador potencialmente realizasse uma fuga da sandbox por meio de uma página HTML manipulada.”

Com a última atualização, a gigante da tecnologia abordou um total de sete zero-days no Chrome desde o início do ano –

CVE-2023-2033 (pontuação CVSS: 8.8) – Type confusion in V8
CVE-2023-2136 (pontuação CVSS: 9.6) – Integer overflow in Skia
CVE-2023-3079 (pontuação CVSS: 8.8) – Type confusion in V8
CVE-2023-4762 (pontuação CVSS: 8.8) – Type confusion in V8
CVE-2023-4863 (pontuação CVSS: 8.8) – Heap buffer overflow in WebP
CVE-2023-5217 (pontuação CVSS: 8.8) – Heap buffer overflow in vp8 encoding in libvpx

Recomenda-se que os usuários atualizem para a versão 119.0.6045.199/.200 do Chrome para Windows e 119.0.6045.199 para macOS e Linux para mitigar possíveis ameaças. Usuários de navegadores baseados em Chromium, como Microsoft Edge, Brave, Opera e Vivaldi, também são aconselhados a aplicar as correções assim que estiverem disponíveis.