O Google anunciou na terça-feira uma atualização de segurança que aborda uma vulnerabilidade de dia zero no navegador Chrome.
O problema de alta gravidade, rastreado como CVE-2023-6345, é descrito como um bug de estouro de número inteiro no Skia, a biblioteca gráfica 2D de código aberto que serve como mecanismo gráfico no Chrome, Firefox e outros navegadores.
“O Google está ciente de que existe uma exploração para CVE-2023-6345”, observa o gigante da Internet em seu aconselhamentosem fornecer detalhes específicos sobre a exploração observada.
No entanto, a empresa afirma que a falha foi relatada por Benoît Sevens e Clément Lecigne, do Threat Analysis Group (TAG) do Google, o que sugere que ela pode ser explorada por um fornecedor de spyware.
Nos últimos meses, os pesquisadores do Google TAG descobriram várias outras vulnerabilidades de dia zero exploradas por fornecedores de software de vigilância comercial, incluindo CVE-2023-5217, um heap buffer overflow no Chrome, corrigido no final de setembro.
A atualização mais recente do Chrome corrige cinco outras vulnerabilidades de alta gravidade, incluindo três problemas de uso após liberação no Mojo, WebAudio e libavif, um bug de confusão de tipo no Spellcheck e uma falha de acesso à memória fora dos limites no libavif.
O Google afirma que distribuiu US$ 55.000 em recompensas aos pesquisadores que reportaram, com o maior pagamento (US$ 31.000) indo para Leecraso e Guang Gong do 360 Vulnerability Research Institute, pela vulnerabilidade no Mojo (CVE-2023-6347).
De acordo com a política da empresa, nenhuma recompensa de bug será emitida para as falhas Spellcheck e Skia, que foram relatadas pelos pesquisadores do Google Project Zero e do Google TAG.
CVE-2023-6345 é o sétimo dia zero do Chrome abordado este ano, depois de CVE-2023-5217, CVE-2023-4762, CVE-2023-4863, CVE-2023-3079, CVE-2023-2033 e CVE- 2023-2136.
O Google corrigiu o CVE-2023-4762 em setembro, quando não estava ciente da exploração em estado selvagem, mas mais tarde disse que provavelmente existia uma exploração antes da correção ser lançada.
A versão mais recente do Chrome está sendo lançada para os usuários como versão 119.0.6045.199 para macOS e Linux e como versões 119.0.6045.199/.200 para Windows.
Com informações de Cibersegurança Notícias e Ciberseg.