O Google lançou uma atualização urgente para resolver uma vulnerabilidade recentemente descoberta no Chrome que está sob exploração ativa, marcando a oitava vulnerabilidade de dia zero identificada para o navegador em 2023.
Identificado como CVE-2023-7024, O Google disse que a vulnerabilidade é uma falha significativa de estouro de buffer de heap no módulo WebRTC do Chrome que permite a execução remota de código (RCE).
WebRTC é uma iniciativa de código aberto que permite comunicação em tempo real por meio de APIs e conta com amplo suporte entre os principais fabricantes de navegadores.
Como CVE-2023-7024 ameaça usuários do Chrome
Lionel Litty, arquiteto-chefe de segurança da Menlo Security, explica que o risco de exploração é a capacidade de obter RCE no processo de renderização. Isso significa que um malfeitor pode executar código binário arbitrário na máquina do usuário, fora da sandbox JavaScript.
No entanto, o dano real depende do uso do bug como o primeiro passo em uma cadeia de exploração; ele precisa ser combinado com uma vulnerabilidade de escape de sandbox no próprio Chrome ou no sistema operacional para ser realmente perigoso.
“Este código ainda está em sandbox devido à arquitetura multiprocessos do Chrome”, diz Litty, “portanto, com apenas esta vulnerabilidade, um invasor não pode acessar os arquivos do usuário ou começar a implantar malware, e sua posição na máquina desaparece quando a guia afetada é fechado."
Ele ressalta que o recurso de isolamento de sites do Chrome geralmente protege os dados de outros sites, de modo que um invasor não pode atingir as informações bancárias da vítima, embora acrescente que há algumas advertências sutis aqui.
Por exemplo, isso exporia uma origem alvo à origem maliciosa se eles usassem o mesmo site: Em outras palavras, um hipotético malicioso.shared.com pode ter como alvo vítima.shared.com.
“Embora o acesso ao microfone ou à câmera exija o consentimento do usuário, o acesso ao WebRTC em si não exige”, explica Litty. “É possível que esta vulnerabilidade possa ser atacada por qualquer site sem exigir qualquer intervenção do usuário além da visita à página maliciosa, portanto, nesta perspectiva, a ameaça é significativa.”
Aubrey Perin, analista líder de inteligência de ameaças da Qualys Threat Research Unit, observa que o alcance do bug vai além do Google Chrome.
“A exploração do Chrome está ligada à sua onipresença – até o Microsoft Edge usa o Chromium”, diz ele. “Portanto, a exploração do Chrome também pode atingir os usuários do Edge e permitir um alcance mais amplo aos malfeitores.”
E deve-se notar que os dispositivos móveis Android que usam o Chrome têm seu próprio perfil de risco; eles colocam vários sites no mesmo processo de renderização em alguns cenários, especialmente em dispositivos que não possuem muita RAM.
Os navegadores continuam sendo um dos principais alvos de ataques cibernéticos
Os principais fornecedores de navegadores relataram recentemente um número crescente de bugs de dia zero – relatou apenas o Google cinco desde agosto.
Apple, Microsoft e Firefox estão entre os outros que divulgaram um série de vulnerabilidades críticas em seus navegadores, incluindo alguns zero-day.
Joseph Carson, cientista-chefe de segurança e CISO consultivo da Delinea, diz que não é surpresa que hackers e cibercriminosos patrocinados pelo governo tenham como alvo o software popular, constantemente em busca de vulnerabilidades para explorar.
“Isso normalmente leva a uma superfície de ataque maior devido ao uso generalizado do software, múltiplas plataformas, alvos de alto valor e geralmente abre a porta para ataques à cadeia de suprimentos”, diz ele.
Ele observa que esses tipos de vulnerabilidades também levam tempo para muitos usuários atualizarem e corrigirem sistemas vulneráveis.
“Portanto, os invasores provavelmente terão como alvo esses sistemas vulneráveis por muitos meses”, diz Carson.
Ele acrescenta: “Como esta vulnerabilidade está sendo explorada ativamente, isso provavelmente significa que os sistemas de muitos usuários já foram comprometidos e seria importante ser capaz de identificar os dispositivos que foram alvo e corrigir rapidamente esses sistemas”.
Como resultado, observa Carson, as organizações devem investigar sistemas sensíveis com esta vulnerabilidade para determinar quaisquer riscos ou potencial impacto material.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/cloud-security/google-eighth-zero-day-patch-2023-chrome
- :tem
- :é
- :não
- 2023
- 7
- a
- habilidade
- Capaz
- Acesso
- Alcançar
- ativo
- ativamente
- atores
- endereço
- Adiciona
- consultivo
- permitir
- permite
- sozinho
- já
- tb
- Apesar
- entre
- an
- analista
- e
- andróide
- qualquer
- APIs
- arquitetura
- SOMOS
- AS
- At
- ataque
- Ataques
- longe
- Mau
- Bancário
- BE
- sido
- ser
- Pós
- navegador
- navegadores
- amortecer
- estouro de buffer
- Bug
- erros
- by
- Câmera
- CAN
- não podes
- cadeia
- chefe
- Chrome
- crômio
- CISO
- fechado
- código
- COM
- combinado
- como
- Comunicação
- Comprometido
- consentimento
- constantemente
- poderia
- crítico
- Ataque cibernético
- cibercriminosos
- dano
- Perigoso
- dados,
- Implantação
- Determinar
- Dispositivos/Instrumentos
- descoberto
- do
- parece
- Porta
- dois
- borda
- Oitavo
- ou
- permitindo
- escapar
- especialmente
- Mesmo
- exemplo
- execução
- Explica
- Explorar
- exploração
- exploradas
- explorando
- se estende
- Característica
- Arquivos
- Firefox
- Primeiro nome
- falha
- Escolha
- da
- geralmente
- vai
- Google Chrome
- Governo
- patrocinado pelo governo
- Crescente
- hackers
- Ter
- he
- SUA PARTICIPAÇÃO FAZ A DIFERENÇA
- HTML
- HTTPS
- identificado
- identificar
- if
- Impacto
- impactada
- importante
- in
- Em outra
- Incluindo
- INFORMAÇÕES
- Iniciativa
- entrada
- Inteligência
- investigar
- isolamento
- Emitido
- IT
- ESTÁ
- se
- JavaScript
- jpg
- apenas por
- Maior
- conduzir
- principal
- Leads
- Provável
- lote
- máquina
- Makers
- malwares
- muitos
- marca��o
- material
- significa
- microfone
- Microsoft
- Microsoft Edge
- Móvel Esteira
- dispositivos móveis
- Módulo
- mês
- múltiplo
- Cria
- não
- notado
- Notas
- número
- of
- on
- aberto
- open source
- abre
- or
- organizações
- origem
- OS
- Outros
- Outros
- Fora
- lado de fora
- próprio
- página
- Remendo
- perspectiva
- Plataformas
- platão
- Inteligência de Dados Platão
- PlatãoData
- pontos
- Popular
- possível
- potencial
- potencialmente
- processo
- Perfil
- proteger
- colocar
- rapidamente
- RAM
- alcançar
- reais
- em tempo real
- recentemente
- Releases
- permanecem
- remoto
- Informou
- exige
- pesquisa
- resultar
- Risco
- riscos
- Execute
- s
- Dito
- mesmo
- sandbox
- diz
- cenários
- Cientista
- pesquisar
- segurança
- sensível
- compartilhado
- rede de apoio social
- periodo
- desde
- local
- Locais
- So
- Software
- alguns
- fonte
- Patrocinado
- começo
- Passo
- Ainda
- supply
- cadeia de suprimentos
- ajuda
- superfície
- surpresa
- sistemas
- Tire
- Target
- visadas
- tem como alvo
- que
- A
- deles
- Lá.
- assim sendo
- Este
- deles
- isto
- aqueles
- Apesar?
- ameaça
- ameaça
- Através da
- Amarrado
- tempo
- para
- topo
- verdadeiramente
- tipos
- tipicamente
- para
- unidade
- Atualizar
- urgente
- Uso
- usar
- Utilizador
- usuários
- usos
- utilização
- geralmente
- fornecedores
- Vítima
- vulnerabilidades
- vulnerabilidade
- Vulnerável
- Site
- quando
- enquanto
- mais largo
- generalizada
- Selvagem
- precisarão
- de
- dentro
- sem
- palavras
- seria
- zefirnet
