Atualize o Chrome agora para evitar essa grande exploração de dia zero
O navegador Google Chrome foi atingido por seu primeiro ataque de dia zero de 2023, e o Google começou a lançar uma atualização de emergência a partir de hoje para lidar com a exploração.
O Google detalhou em seu blog Chrome Release que está ciente de que existe uma exploração para CVE-2023-2033 em estado selvagem. Provavelmente está circulando desde o início do ano, de acordo com o Bleeping Computer .
A exploração foi descoberta e relatada por Clement Lecigne, do Grupo de Análise de Ameaças (TAG) do Google. O grupo é conhecido por localizar criminosos patrocinados pelo governo que pretendem invadir o Google para obter acesso a pessoas importantes, como jornalistas e políticos rivais, para que possam infectar suas contas e dispositivos com spyware, observou a publicação.
A vulnerabilidade CVE-2023-2033 é considerada de alta gravidade e é detalhada como uma “fraqueza de confusão no mecanismo JavaScript Chrome V8”. No entanto, o Google compartilhou alguns outros detalhes sobre o ataque neste momento, particularmente sobre como a vulnerabilidade CVE-2023-2033 foi usada em ataques reais. O nome “zero-day” indica que a vulnerabilidade ainda existe, apesar de o Google ter resolvido isso com uma atualização.
“O acesso aos detalhes e links do bug pode ser mantido restrito até que a maioria dos usuários seja atualizada com uma correção”, disse o Google. “Também manteremos as restrições se o bug existir em uma biblioteca de terceiros da qual outros projetos também dependam, mas ainda não foram corrigidos.”
A versão de atualização 112.0.5615.121 abordando CVE-2023-2033 está atualmente disponível para usuários do Chrome no canal Stable Desktop e será lançada para todos os usuários em vários dias e semanas. A atualização é compatível com os sistemas Windows, Mac e Linux. O BleepingComputer observou que conseguiu acessar a atualização imediatamente acessando o menu Chrome > Ajuda > Sobre o Google Chrome . A atualização também atingirá os navegadores Chrome automaticamente quando disponível após uma reinicialização.
Em março de 2022, uma vulnerabilidade semelhante de dia zero chamada CVE-2022-1096 afetou o mecanismo JavaScript V8 do Chrome especificamente em dispositivos Mac.
Uma grande vulnerabilidade de dia zero que afetou os programas do Windows em junho de 2022, chamada CVE-2022-30190, Follina , foi atribuída a um grupo de hackers chinês TA413 e visava a diáspora tibetana, bem como agências governamentais dos EUA e da UE.