O navegador Google Chrome enfrentou mais um desafio de segurança com a descoberta e correção da sétima vulnerabilidade explorada de dia zero no ano de 2023. A atualização mais recente, versão 119.0.6045.199 para macOS e Linux, e versões 119.0.6045.199/.200 para Windows, concentrou-se em resolver o CVE-2023-6345, um bug de estouro de número inteiro na biblioteca gráfica 2D de código aberto Skia, que desempenha um papel crucial como mecanismo gráfico não apenas no Chrome, mas também em outros navegadores, como o Firefox.
A vulnerabilidade, classificada como CVE-2023-6345, é considerada de alta gravidade. A natureza do bug reside em um estouro de número inteiro no Skia, apresentando riscos que variam desde travamentos até a execução de código arbitrário. Esse componente gráfico é amplamente utilizado, não apenas no Chrome, mas também em produtos como ChromeOS, Android e Flutter. Benoît Sevens e Clément Lecigne, pesquisadores do Threat Analysis Group (TAG) do Google, foram os responsáveis por relatar essa falha, indicando a possibilidade de exploração por fornecedores de spyware.
Recompensas e reconhecimento
O Google, em seu comunicado, revelou ter distribuído recompensas aos pesquisadores que contribuíram para a identificação e correção das vulnerabilidades. O maior pagamento, no valor de US$ 31.000, foi concedido a Leecraso e Guang Gong do 360 Vulnerability Research Institute, pelos esforços relacionados à vulnerabilidade no Mojo (CVE-2023-6347). No entanto, seguindo a política da empresa, nenhuma recompensa foi emitida para as falhas Spellcheck e Skia, reportadas pelos pesquisadores do Google Project Zero e do Google TAG.
Histórico de dias zero do Chrome em 2023
O CVE-2023-6345 marca o sétimo dia zero abordado pelo Google Chrome em 2023. Anteriormente, o navegador enfrentou desafios semelhantes com as vulnerabilidades CVE-2023-5217, CVE-2023-4762, CVE-2023-4863, CVE-2023-3079, CVE-2023-2033 e CVE-2023-2136. Algumas dessas vulnerabilidades foram exploradas em ataques, elevando a preocupação com a segurança dos usuários.
Possível exploração em ataques de Spyware
A natureza da vulnerabilidade, associada a um estouro de número inteiro na biblioteca gráfica Skia, levanta preocupações significativas sobre sua possível exploração em ataques de spyware. O Threat Analysis Group (TAG) do Google, conhecido por identificar zero-days, sugere que tais vulnerabilidades são frequentemente exploradas por grupos de hackers patrocinados pelo Estado, visando indivíduos de destaque, como jornalistas e políticos da oposição.
Estratégia de divulgação restrita
O Google adotou uma abordagem cautelosa em relação à divulgação de detalhes sobre o CVE-2023-6345. A empresa optou por restringir o acesso a informações específicas sobre a vulnerabilidade até que a maioria dos usuários atualize seus navegadores. Essa estratégia visa reduzir a probabilidade de agentes da ameaça desenvolverem suas próprias explorações, aproveitando as informações técnicas divulgadas sobre a vulnerabilidade.
Atualizações e correções
A versão mais recente do Chrome, lançada globalmente, traz correções para usuários do Windows (119.0.6045.199/.200) e usuários de Mac e Linux (119.0.6045.199). Essas atualizações são cruciais para mitigar os riscos associados ao CVE-2023-6345 e outras vulnerabilidades abordadas nesta versão.
O enfrentamento e correção de sete dias zero somente em 2023 ressaltam a importância de manter os navegadores sempre atualizados. A colaboração entre pesquisadores, como Benoît Sevens e Clément Lecigne, e instituições como o Threat Analysis Group (TAG) do Google desempenha um papel vital na identificação precoce e resolução dessas vulnerabilidades críticas.