Google corrige a sétima falha zero-day no Chrome – Atualize agora

A temporada de férias chegou, mas as empresas de software ainda estão ocupadas lançando correções para grandes falhas de segurança. Microsoft, Google e a empresa de software corporativo Atlassian lançaram patches para vulnerabilidades que já estão sendo usadas em ataques. A Cisco também corrigiu um bug considerado tão sério que recebeu uma pontuação CVSS quase máxima de 9.9. Aqui está tudo o que você precisa saber sobre os patches lançados em novembro. Google Chrome encerrou novembro com um estrondo após emitir sete correções de segurança para o Chrome, incluindo um patch de emergência para um problema que já estava sendo usado em ataques reais. Pouco se sabe sobre a correção no momento da escrita; no entanto, foi relatado por Benoît Sevens e Clément Lecigne do Google Threat Analysis Group, indicando que o exploit poderia estar relacionado a spyware. As outras seis falhas corrigidas pelo Google e classificadas como tendo um alto impacto incluem CVE-2023-6348, um bug de confusão de tipos em Spellcheck, e CVE-2023-6351, um problema de uso após libavif gratuito. Anteriormente no mês, a Google lançou correções para 15 problemas de segurança em seu navegador amplamente utilizado. Dentre os bugs corrigidos pela gigante do software, três foram classificados como tendo uma gravidade alta. O concorrente Chrome Firefox corrigiu 10 vulnerabilidades no navegador, seis das quais classificadas como tendo um alto impacto. Enquanto isso, CVE-2023-6206 poderia permitir prompts de permissão de clickjacking usando a transição em tela cheia. “A animação de fade preta ao sair da tela cheia é aproximadamente o comprimento do atraso anti-clickjacking nos prompts de permissão”, disse o proprietário do Firefox, Mozilla. Os dispositivos Pixel do Google já receberam a atualização de novembro, juntamente com algumas correções adicionais. O Boletim de Segurança Android de novembro do Google detalha correções corrigidas neste mês, incluindo oito no Framework, seis das quais são bugs de elevação de privilégio. A pior falha poderia levar a uma escalada local de privilégios sem a necessidade de privilégios adicionais de execução. Em uma data padrão no final de novembro, a Apple emitiu uma atualização de segurança exclusiva para o iPhone iOS 17.1.2 para corrigir duas falhas que estavam sendo usadas em ataques reais. Se explorado, o primeiro bug poderia expor informações sensíveis, enquanto o segundo poderia permitir que um invasor execute código. A Apple afirmou que ambos os problemas “podem ter sido explorados contra versões do iOS antes do iOS 16.7.1”, mas não deu mais detalhes. No entanto, os problemas foram relatados por Clément Lecigne do Google Threat Analysis Group, que frequentemente descobre falhas usadas para plantar spyware em dispositivos.