O Google lançou na segunda-feira uma atualização de segurança emergencial do Chrome 116 para corrigir a quarta vulnerabilidade de dia zero descoberta no navegador em 2023.
Rastreado como CVE-2023-4863 e classificado como ‘gravidade crítica’, o bug é descrito como um problema de estouro de buffer de heap no componente WebP.
WebP é um formato de imagem que oferece compactação e qualidade aprimoradas em comparação com os formatos JPEG e PNG conhecidos e é compatível com todos os navegadores modernos, incluindo Chrome, Firefox, Safari, Edge e Opera.
“O Google está ciente de que existe uma exploração para CVE-2023-4863”, observa o gigante da Internet em um aviso.
De acordo com o Google, a vulnerabilidade foi relatada em 6 de setembro pela Apple Security Engineering and Architecture (SEAR) e pelo Citizen Lab da Munk School da Universidade de Toronto, que frequentemente expõe as atividades de fornecedores comerciais de spyware. De acordo com a política do gigante da Internet, nenhuma recompensa será distribuída pela falha.
Problemas de estouro de buffer de heap ocorrem quando um aplicativo grava mais dados em um buffer de memória alocado para heap do que o buffer pode conter. Essas vulnerabilidades podem ser exploradas para travar um aplicativo e potencialmente atingir a execução arbitrária de código.
Como sempre, o Google se absteve de divulgar detalhes sobre o bug. A empresa também não fornece informações sobre a exploração observada.
No entanto, o facto de a SEAR e o Citizen Lab terem sido creditados pela descoberta pode indicar que a vulnerabilidade foi explorada por um fornecedor comercial de spyware, que normalmente afirma ajudar agências governamentais a realizar vigilância legal.
Os produtos oferecidos por esses fornecedores de spyware, no entanto, muitas vezes têm como alvo os usuários do Android com cadeias de exploração complexas que muitas vezes também integram explorações do Chrome.
O patch do Google Chrome chega poucos dias depois que a Apple anunciou a correção de dia zero no iOS e macOS. O Citizen Lab descobriu as falhas do produto Apple durante a análise da atividade de exploração ligada ao spyware mercenário Pegasus do Grupo NSO.
CVE-2023-4863 é a quarta vulnerabilidade de dia zero que o Google corrigiu no Chrome este ano, depois de abordar (confusão de tipo no mecanismo V8) em junho, e (confusão de tipo no mecanismo V8) e (estouro de número inteiro no Skia) em abril.
A iteração mais recente do Chrome agora está sendo lançada para os usuários como versão 116.0.5845.187 para macOS e Linux e como versões 116.0.5845.187/.188 para Windows.