A vulnerabilidade está entre um número crescente de bugs de Zero-day que os principais fornecedores de navegadores relataram recentemente.

Pela quarta vez desde agosto, o Google divulgou um bug na tecnologia do navegador Chrome que os invasores estavam explorando ativamente antes que a empresa conseguisse uma solução para ele.

Bug de Integer Overflow

O último Zero-day, que o Google está rastreando como CVE-2023-6345, decorre de um problema de estouro de número inteiro no Skia, uma biblioteca gráfica 2D de código aberto no Chrome. O bug é uma das sete vulnerabilidades do Chrome para as quais o Google lançou uma atualização de segurança esta semana.

O comunicado da empresa continha detalhes esparsos sobre o CVE-2023-6345, além de mencionar o fato de que uma exploração para ele está disponível publicamente. Uma breve descrição no site National Vulnerability Database (NVD) do NIST descreveu a falha que afeta versões do Chrome anteriores a 119.0.6045.199 e permitindo que um invasor remoto que “comprometeu o processo de renderização pudesse executar uma fuga de sandbox por meio de um arquivo malicioso”. O NVD identificou o bug como um problema de alta gravidade.

O Google deu crédito aos pesquisadores de seu Grupo de Análise de Ameaças por encontrar e relatar CVE-2023-6345 em 24 de novembro.

A vulnerabilidade é o sétimo Zero-day que o Google se apressou em corrigir em meio a atividades de exploração ativa este ano e é a mais recente manifestação do crescente interesse dos invasores no Chrome e em outros navegadores.

Uma infestação de Zero-day do navegador

Desde o início deste ano, Apple, Google, Microsoft e Firefox divulgaram múltiplas vulnerabilidades críticas em seus respectivos navegadores, incluindo algumas vulnerabilidades de dia zero. Em alguns casos, um bug em algum componente amplamente utilizado afetou vários navegadores ao mesmo tempo, como foi o caso do CVE-2023-4863, um heap overflow de dia zero no WebP, uma biblioteca de código comum ao Chrome, Apple Safari e Mozilla Firefox. . Em outros casos, como no CVE-2023-5217, um bug de dia zero no Chrome afetou vários navegadores baseados na tecnologia Chromium, como Microsoft Edge, Opera, Brave e Vivaldi.

Houve também vários Zero-days que a Apple divulgou separadamente este ano em seu mecanismo de navegador WebKit para Safari, incluindo CVE-2023-28205 e três outros em maio: CVE-2023-32409, CVE-2023-28204 e CVE-2023- 32373. Tanto a Microsoft quanto a Mozilla também relataram separadamente outros bugs críticos em seus respectivos navegadores.

Não está claro qual ator de ameaça pode estar explorando atualmente o CVE-2023-6345, o bug que o Google divulgou esta semana, ou por quê. Mas nos últimos meses, o Google e a Apple alertaram sobre os fornecedores de produtos de vigilância comercial que exploram bugs de Zero-day em suas respectivas tecnologias de navegador para lançar spyware no Android, iOS e outros dispositivos móveis. O Google descobriu o CVE-2023-4863 depois que pesquisadores da Apple e do Toronto University Citizen Lab informaram a empresa sobre um fornecedor comercial usando a falha para instalar spyware Predator em dispositivos Android e iOS.

Uso onipresente

Grande parte do crescente interesse dos invasores em navegadores tem a ver com seu uso onipresente, diz Lionel Litty, arquiteto-chefe de segurança da Menlo Security. O uso explosivo de aplicativos da Web fez com que os usuários passassem a maior parte do tempo em navegadores para tudo, desde acessar aplicativos e páginas da Web até conteúdo adicional, como PDFs e outros documentos. Somando-se a isso está o esforço do Google para integrar ainda mais recursos em seu navegador e torná-lo um substituto para tecnologias de cliente gordas, diz Litty. Isso inclui permitir o acesso a dispositivos USB, Bluetooth e até mesmo à GPU por meio da interface WebGPU.

“Apesar de todo o cuidado tomado pelos engenheiros do Google, continuamos a ver um fluxo constante de problemas de segurança que podem ser explorados, incluindo muitos dias zero que são realmente explorados”, diz ele.

O fato de vários navegadores serem baseados no Chromium é outro motivo para os invasores atacarem a tecnologia, observa Litty. “Desenvolver uma exploração contra o Chrome geralmente significa que ela funcionará em todos os navegadores, exceto Safari e Firefox, permitindo que agentes mal-intencionados atinjam mais vítimas sem qualquer trabalho adicional.”

Saeed Abbasi, gerente de pesquisa de vulnerabilidades e ameaças da Qualys, aponta razões semelhantes para a crescente popularidade do Chrome entre os atores de ameaças. “Além disso, o alto valor comercial da exploração de uma plataforma amplamente utilizada como o Chrome atrai invasores sofisticados, incluindo aqueles apoiados por patrocinadores estatais”, diz ele.

De forma mais geral, as vulnerabilidades dos navegadores apresentam riscos significativos para as organizações, diz Abbasi. Os invasores podem usar bugs do navegador para introduzir malware e spyware em uma organização. Além disso, os invasores podem explorar essas vulnerabilidades para roubar credenciais de login e outros dados para possíveis ataques futuros.

“Para mitigar os riscos das vulnerabilidades dos navegadores, as organizações devem priorizar atualizações regulares e gerenciamento de patches para manter os navegadores atualizados”, observa Abbasi. “A implementação da segmentação de rede pode restringir o acesso do navegador a áreas sensíveis, reduzindo os impactos das violações.”

Para saber mais, clique aqui.