.
A Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA adicionou a mais recente vulnerabilidade de dia zero explorada ativamente que afeta o Google Chrome ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV).
O bug, rastreado como CVE-2023-5217, recebeu um patch do Google na semana passada e recebeu uma classificação de gravidade de 8,8 na escala CVSS v3.
Com sua adição ao Catálogo KEV, a CISA indicou efetivamente que as explorações da vulnerabilidade representam um “risco significativo para a empresa federal”, e as agências do Poder Executivo Civil Federal (FCEB) estabeleceram um prazo de três semanas até 23 de outubro. para aplicar as correções recomendadas.
A vulnerabilidade em si é uma vulnerabilidade de estouro de buffer de heap que afeta a codificação VP8 em libvpx, uma biblioteca de codecs de vídeo de código aberto do Projeto WebM.
O Google não divulgou muitos detalhes sobre a vulnerabilidade ou a cadeia de exploração, dizendo que a restrição às informações permanecerá até que a maioria de seus usuários atualize para a versão segura do Chrome.
Os detalhes também continuarão a ser retidos se a vulnerabilidade continuar a impactar uma biblioteca de terceiros da qual outros projetos dependem.
No entanto, o público foi informado de que a vulnerabilidade pode ser explorada usando uma página HTML especialmente criada e um fluxo de mídia VP8 para explorar a corrupção de heap.
A pilha de software é um dos alvos mais comuns para criminosos cibernéticos que buscam desenvolver explorações para aplicativos populares, junto com a pilha.
Tais explorações podem muitas vezes levar a falhas ou à execução de código arbitrário na máquina da vítima, e a prevalência do Google Chrome em todo o mundo sublinha a seriedade com que vulnerabilidades como estas devem ser encaradas, especialmente no contexto das TI a nível governamental.
“Esses tipos de vulnerabilidades são vetores de ataque frequentes para atores cibernéticos mal-intencionados e representam riscos significativos para as empresas federais”, afirmou a CISA em seu relatório. alerta.
Remendar agora
Embora os prazos de mitigação descritos no Catálogo KEV se apliquem apenas às agências FCEB, a CISA instou todas as organizações a aplicarem as correções recomendadas de forma “oportuna”.
“A CISA continuará a adicionar vulnerabilidades ao Catálogo que atendam aos critérios especificados”, acrescentou.
O comunicado do Google instruiu os usuários a aplicarem sua atualização de canal estável para Windows, Mac e Linux – versão 117.0.5938.132 – que será disponibilizada “nos próximos dias e semanas”.
O escopo da vulnerabilidade é mais amplo do que apenas o Google Chrome, assim como foi originalmente pensado.
Arch Linux forneceu uma lista dos 29 pacotes de código aberto que requerem libvpx.
O comunicado da Microsoft indicou que seu navegador Edge baseado em Chromium também era originalmente vulnerável ao bug, mas foi protegido nas versões estáveis mais recentes e estáveis estendidas, 117.0.2045.47 e 116.0.1938.98, respectivamente.
Além disso, revelou que “certas versões” do Microsoft Teams e do Skype também são vulneráveis ao CVE-2023-5217, dizendo que “a Microsoft está trabalhando para identificar e resolver esta vulnerabilidade o mais rápido possível”.
O Debian lançou atualizações de segurança para seu oldstable (bullseye) e stable (bookworm). Os usuários devem atualizar para as versões 1.9.0-1+deb11u1 e 1.12.0-1+deb12u1 respectivamente para proteção contra CVE-2023-5217.
Os problemas do dia zero do Chrome
O Google tem estado ocupado corrigindo o dia zero no Chrome ao longo de setembro, incluindo uma vulnerabilidade de aparência semelhante no início do mês, rastreada como CVE-2023-4863.
Como o mais recente adicionado ao Catálogo KEV da CISA, este também foi um problema de estouro de buffer de heap, mas afetou uma biblioteca de código aberto diferente, libwebpdesenvolvido pelo Google para codificar e decodificar imagens WebP.
Ele também foi corrigido rapidamente e recebeu uma pontuação de severidade igualmente alta de 8,8, em parte devido ao fato de também ter sido explorado ativamente no momento em que os patches foram lançados.
A CISA também adicionou CVE-2023-4863 ao seu Catálogo KEV, o prazo para aplicação dos patches foi definido para 4 de outubro.
A superfície de ataque completa do bug não é totalmente compreendida mas o libwebp é popular entre os principais navegadores e de acordo com a TenableFirefox, Thunderbird, Microsoft Edge, Opera e Brave estavam todos vulneráveis.
A estrutura Electron também inclui libwebp, o que significa que aplicativos como 1Password e 3CX desktop também foram afetados, disse Tenable.
Uma lista completa de softwares baseados em Electron afetados está sendo coletada por Michael Taggart no GitHub. ®
.
