O Google lançou atualizações de segurança para o navegador Chrome para corrigir uma falha de zero day de alta gravidade que, segundo a empresa, foi explorada ativamente.
A vulnerabilidade, identificada como CVE-2023-7024, é descrita como um bug de estouro de buffer baseado em heap no framework WebRTC, que pode ser explorado para causar falhas no programa ou execução arbitrária de código.
Clément Lecigne e Vlad Stolyarov, do Grupo de Análise de Ameaças (TAG) do Google, foram creditados pela descoberta e relato da falha em 19 de dezembro de 2023.
Não foram divulgados mais detalhes sobre o defeito de segurança para evitar mais abusos, com o Google reconhecendo que “existe um exploit para a CVE-2023-7024 em circulação”.
Considerando que o WebRTC é um projeto de código aberto e também é suportado por navegadores como Mozilla Firefox e Apple Safari, ainda não está claro se a falha tem impacto além do Chrome e dos navegadores baseados em Chromium.
Este desenvolvimento marca a resolução do oitavo zero day ativamente explorado no Chrome desde o início do ano, incluindo falhas como confusão de tipo no V8, estouro de inteiro no Skia, estouro de buffer no heap no WebP, entre outros.