Google conserta sexto bug zero-day do Chrome em 2023

Falha de segurança envolve biblioteca de gráficos 2D e pode afetar outros programas. Empresa confirma que já existe um exploit desta brecha.

Giovanni Santa Rosa
Por
Ilustração com a marca do Google Chrome
Correção está sendo distribuída no canal Stable do Chrome (Imagem: Vitor Pádua/Tecnoblog)

O Google corrigiu mais uma falha de segurança do seu navegador, o Chrome. Esta é a sexta vulnerabilidade do tipo zero-day em 2023. O problema envolvia a biblioteca de gráficos 2D Skia, usada pelo browser e por outros produtos, como o ChromeOS e o Android.

A correção está sendo distribuída no canal Stable do Chrome para Windows (versão 119.0.6045.199/.200) e para macOS e Linux (119.0.6045.199). O Google diz que a distribuição pode levar dias ou até semanas para chegar a todos. No meu computador, ela já chegou.

Google Chrome (imagem: Emerson Alecrim/Tecnoblog)
Google Chrome (imagem: Emerson Alecrim/Tecnoblog)

Para saber se seu navegador foi atualizado, clique nos três pontinhos no canto superior direito, vá até “Ajuda” e escolha “Sobre o Google Chrome”. Uma página com o número da versão instalada vai aparecer. Se um update estiver disponível, ela será instalada imediatamente.

Vulnerabilidade pode afetar outros softwares

Falhas zero-day são aquelas descobertas por criminosos antes mesmo da empresa ou organização responsável pelo software, que fica com “zero dia” para resolver o problema — daí o nome.

A vulnerabilidade foi identificada por Benoît Sevens e Clémant Lecigne, pesquisadores do grupo de análise de ameaças do Google, e reportada no dia 24 de novembro. Ela recebeu o identificador CVE-2023-6345.

Este grupo é conhecido por descobrir vulnerabilidades zero-day. Geralmente, este tipo de problema é explorado por grupos de hackers ligados a estados, geralmente tendo jornalistas e políticos de oposição como alvos.

A empresa confirma que um exploit desta falha já existe — ou seja, atacantes podem estar tirando proveito do problema para infectar computadores com spyware.

O Google não deu mais detalhes sobre a vulnerabilidade de segurança. A empresa diz apenas que ela envolve um integer overflow (transbordamento de inteiro, em tradução livre) na biblioteca gráfica 2D Skia.

Isso pode ser explorado de várias formas, de fazer apps travarem a executar códigos de maneira arbitrária (ou seja, que o próprio atacante escolhe).

Segundo a empresa, os detalhes só serão revelados quando a maioria dos usuários atualizar o Chrome. Caso ela afete outros softwares, a restrição será estendida.

Esta é a sexta vulnerabilidade zero-day encontrada no Chrome em 2023. Em setembro, outras duas foram corrigidas, e mais três receberam reparos no primeiro semestre.

Com informações: Bleeping Computer

Relacionados