Uma nova atualização "Zero-Day" ("Dia Zero") foi lançada para o Chrome pelo Google. Esta é a segunda vulnerabilidade de urgente explorada em ataques neste ano de 2023. Os desenvolvedores do navegador disseram que "o Google está ciente de que existe um exploit para CVE-2023-2136".
A atualização 112.0.5615.137 do Google Chrome corrige oito vulnerabilidades de segurança. A nova versão do navegador está sendo lançada para Windows e Mac, mas computadores com Linux também irão receber em breve, de acordo com o Google.
Sobre a vulnerabilidade corrigida com o Chrome 112.0.5615.137
De acordo com as informações, a vulnerabilidade CVE-2023-2136, que foi corrigida com a atualização para o Chrome 112.0.5615.137, está realacionada ao estouro de número inteiro de alta gravidade no Skia, uma biblioteca de gráficos 2D multiplataforma de código aberto de propriedade do Google escrita em C++.
A ocorrência de erros de estouro de número inteiro acontece quando uma operação gera um valor que excede o máximo para um determinado tipo de número inteiro. Isso geralmente faz com que ocorra um comportamento inesperado do software ou que haja consequências na segurança.
No contexto do Skia, pode haver a renderização incorreta, corrupção de memória e execução arbitrária de código, levando ao acesso não autorizado do sistema.
A vulnerabilidade foi detectada por Clément Lecigne, do Threat Analysis Group (TAG ou Grupo de Análise de Ameaças), no início de abril de 2023. Infelizmente o Google não divulgou muitos detalhes sobre a exploração por motivos de segurança.