A Vulnerabilidade veio à tona quando Clement Lecigne, membro do Grupo de Análise de Ameaças (TAG) do Google, informou à equipe do Chrome apenas 48 horas antes do lançamento do patch.

O Google reconheceu que a vulnerabilidade, identificada como CVE-2023-5217 e descrita como um "estouro de buffer de heap na codificação vp8 em libvpx", estava sendo ativamente explorada em ambiente selvagem.

O comunicado do Google oferece informações limitadas sobre os ataques de dia zero, afirmando: "O acesso aos detalhes e links do bug pode ser mantido restrito até que a maioria dos usuários seja atualizada com uma correção".

Embora o Google TAG não tenha divulgado informações detalhadas, Maddie Stone, pesquisadora do TAG, confirmou que a vulnerabilidade do Chrome foi explorada para implantar spyware.

A correção para esta vulnerabilidade está incluída na versão 117.0.5938.132 do Google Chrome, atualmente em processo de implantação para usuários de Windows, Mac e Linux no canal Stable Desktop.

Na semana anterior, o Google TAG revelou que a Apple havia corrigido três vulnerabilidades de dia zero destinadas a bloquear uma exploração usada para instalar o spyware Predator no telefone de um candidato presidencial egípcio.

Predator é um spyware desenvolvido pelo controverso fornecedor de spyware comercial Cytrox, com a capacidade de extrair dados do telefone da vítima após a instalação.

Este lançamento de patch de emergência para o Chrome segue a recente solução do Google para outro dia zero explorado ativamente, que inicialmente foi erroneamente identificado como uma vulnerabilidade do Chrome. Posteriormente, foi reclassificado como uma falha na biblioteca de código aberto libwebp, utilizada para codificar e decodificar imagens no formato WebP.

Especialistas em segurança associaram essa vulnerabilidade, avaliada com uma pontuação de gravidade máxima de 10/10, à cadeia de exploração iMessage sem necessidade de interação conhecida como BLASTPASS, que foi usada para implantar o spyware Pegasus do Grupo NSO em iPhones comprometidos.