A vulnerabilidade CVE-2023-3079 existe no Chrome compilações até 114.0.5735.110. Ele permite que “um invasor remoto explore potencialmente um erro de corrupção de heap por meio de uma página HTML especialmente criada”. Esta é a segunda vulnerabilidade do mecanismo Chrome Java Script V8 corrigida pelo Google no navegador este ano e a terceira vulnerabilidade de dia zero (as outras duas são CVE-2023-2136 e CVE-2023-2033).
Fonte da imagem: Pixabay
O Google já lançou um patch de emergência. A empresa não forneceu informações técnicas detalhadas, sabe-se apenas que a vulnerabilidade CVE-2023-3079 é outra “confusão de tipos no mecanismo Chrome Java Script V8” e possui uma classificação de gravidade “alta”. O Google está retendo os detalhes para minimizar os riscos enquanto bilhões de usuários do Chrome em todo o mundo recebem correções. Caso contrário, revelar os detalhes de uma vulnerabilidade de segurança apenas tornará mais fácil para os hackers explorá-la.
«O acesso a informações de erro e links pode ser restrito até que a maioria dos usuários receba uma correção. Também manteremos as restrições se o bug existir em uma biblioteca de terceiros da qual outros projetos também dependam e que ainda não tenham sido corrigidos”, explicou um porta-voz do Google.
Clément Lecigne, do Threat Intelligence Group do Google, disse que a exploração “existe na natureza”, o que significa que é conhecida e explorada por invasores. Portanto, é extremamente importante atualizar seu navegador para a versão mais recente o mais rápido possível. Por padrão, o Chrome baixa as atualizações por conta própria e solicita que você reinicie o navegador para concluir a instalação. É recomendável que você não espere pela atualização automática e faça você mesmo selecionando o item “Sobre o Google Chrome” no menu do navegador.