Se você usa o Chrome no Mac, é altamente recomendável atualizá-lo imediatamente, pois uma falha de segurança descoberta pelo Google está sendo ativamente explorada por invasores. Isso poderia permitir a extração de dados pessoais do seu Mac (o mesmo problema também afeta o Chrome no Windows e Linux).
O Google afirma estar ciente de pelo menos um caso real de exploração usada por um malfeitor…
O Instituto Nacional de Padrões e Tecnologia (NIST) do governo dos EUA avaliou a gravidade da questão da segurança tão elevada.
Google deu a falha a mesma classificação.
Alto CVE-2023-6345: Estouro de número inteiro no Skia. Relatado por Benoît Sevens e Clément Lecigne do Grupo de Análise de Ameaças do Google em 24/11/2023
O bug foi descoberto na semana passada, mas agora está em uso ativo.
O Google ainda não revelou detalhes sobre como funciona. Esta é uma prática padrão: a empresa deseja garantir que a maioria dos usuários tenha atualizado antes de revelar quaisquer detalhes que possam ajudar um invasor a explorá-lo.
A beira observa o pouco que sabemos neste momento.
O que nós fazer O que sabemos é que CVE-2023-6345 é um ponto fraco de overflow de número inteiro que afeta Skia, a biblioteca gráfica 2D de código aberto dentro do mecanismo gráfico do Chrome. De acordo com notas sobre a atualização do Chrome, a exploração permitiu que pelo menos um invasor “potencialmente realizasse uma fuga da sandbox por meio de um arquivo malicioso”. Os escapes de sandbox podem ser utilizados para infectar sistemas vulneráveis com código malicioso e roubar dados confidenciais do usuário.
Mas, essencialmente, se um invasor puder executar código arbitrário no seu Mac, há muito que ele pode fazer, mesmo com as proteções contra malware da Apple.
O Google diz que o lançamento da atualização está ocorrendo ao longo do tempo, mas quando verifiquei, minha versão do Chrome – configurada para atualização automática – já a havia recebido.
Se você já configurou seu navegador Chrome para atualização automática, talvez não seja necessário realizar nenhuma ação. Para qualquer outra pessoa, vale a pena atualizar manualmente para a versão mais recente (119.0.6045.199 para Mac e Linux e 119.0.6045.199/.200 para Windows) nas configurações do Google Chrome para evitar que seu sistema fique exposto. O Google diz que a correção será lançada “nos próximos dias/semanas”, portanto, pode não estar disponível imediatamente para todos no momento da redação deste artigo.
Foto: Growtika/Remover respingo
FTC: Usamos links de afiliados automotivos para geração de renda. Mais.
