Até agora, no ano de 2023, o Google revelou seis vulnerabilidades que os invasores estavam explorando ativamente antes de a empresa lançar um patch para elas.
O Google corrigiu uma vulnerabilidade de Zero-day em seu navegador Chrome que um fornecedor comercial já estava explorando ativamente para instalar software de vigilância em sistemas-alvo. É o terceiro bug de Zero-day do Chrome que o Google divulgou nos últimos dias e que está relacionado a atividades de espionagem.
Vulnerabilidades de corrupção de memória
O novo problema de buffer overflow que o Google está rastreando, identificado como CVE-2023-5217, decorre da implementação de um formato de compactação de vídeo em uma biblioteca de software usada pelo Chrome. A falha pode ser explorada remotamente e oferece aos invasores uma maneira de obter execução remota de código em um sistema-alvo, manipulando a memória heap por meio de uma página HTML criada com códigos maliciosos. Está presente nas versões do Google Chrome anteriores a 117.0.5938.132 e nas versões da biblioteca libvpx anteriores a 1.13.1.
A equipe do Google Chrome deu crédito a um membro do Threat Analysis Group (TAG) da empresa por descobrir e relatar a ameaça de Zero-day em 25 de setembro de 2023. A empresa lançou um patch para ela em 27 de setembro. A pesquisadora de segurança da TAG, Maddie Stone, descreveu o bug como um Zero-day que um fornecedor de vigilância comercial estava explorando no momento do lançamento do patch.
O tweet de Stone não identificou o fornecedor pelo nome, mas nos últimos dias o Google apontou um fornecedor de vigilância chamado Intellexa como abusando de um Zero-day anterior do Chrome (CVE-2023-4762) para lançar uma ferramenta de espionagem chamada Predator em dispositivos Android-alvo no Egito. O Google corrigiu esse bug em 5 de setembro, depois que um pesquisador de segurança notificou a empresa sobre a ameaça.
Uma enxurrada de Zero-day
CVE-2023-5217 é, na verdade, a sexta vulnerabilidade de Zero-day que o Google divulgou no Chrome este ano. É a terceira vulnerabilidade que a empresa se apressou em corrigir neste mês e que parece estar ligada a atividades de espionagem.
Em 11 de setembro, o Google divulgou uma vulnerabilidade crítica identificada como CVE-2023-4863 que afetou as versões do Google Chrome para Windows, macOS e Linux. A vulnerabilidade de buffer overflow, em uma biblioteca do Chrome relacionada ao processamento de imagens (libwebp), deu aos invasores uma maneira de escrever código arbitrário em sistemas de destino usando imagens HTML criadas com códigos maliciosos. O Google identificou o CVE-2023-4863 como uma vulnerabilidade que os invasores já estavam explorando, mas não ofereceu detalhes.
O Google descobriu a vulnerabilidade depois que pesquisadores da Apple e do Citizen Lab da Universidade de Toronto notificaram a empresa sobre a descoberta de um problema de segurança no libwebp que um invasor havia abusado para lançar o notório spyware Pegasus em iPhones-alvo. Embora o Google e a Apple tenham atribuído CVEs diferentes – o identificador da Apple para o bug libwebp é CVE-2023-41064 – alguns pesquisadores de segurança disseram que é provável que os bugs sejam essencialmente os mesmos, uma vez que existem na mesma biblioteca e têm características idênticas.
Além desses três Zero-day, o Google divulgou este ano três outros bugs do Chrome que os invasores estavam explorando ativamente antes que a empresa lançasse um patch para eles.
Em junho, o Google divulgou o CVE-2023-3079, um chamado erro de confusão de tipo no mecanismo JavaScript V8 do Chrome que um invasor poderia explorar por meio de uma página HTML especialmente criada. O Google divulgou os outros dois Zero-day em abril. Um deles era um problema de estouro de número inteiro na biblioteca gráfica de código aberto Skia, rastreado como CVE-2023-2136, e o outro é CVE-2023-2033, também um erro de confusão de tipo no V8 que um invasor pode explorar por meio de uma página HTML maliciosa. Os atores da ameaça estavam explorando ativamente todas as três vulnerabilidades no momento da correção.
Para saber mais, clique aqui.
