Η Google επιδιορθώνει την πέμπτη ευπάθεια του
Chrome
zero-day που εκμεταλλεύεται σε επιθέσεις από την αρχή του έτους με ενημερώσεις ασφαλείας έκτακτης ανάγκης που κυκλοφόρησαν σήμερα.
“Η Google γνωρίζει ό
τι
υπάρχει εκμετάλλευση για το CVE-2023-5217 στη φύση”, αποκάλυψε η εταιρεία σε μια
συμβουλευτική για την ασφάλεια
δημοσιεύθηκε την Τετάρτη.
Η ευπάθεια ασφαλείας αντιμετωπίζεται στο
Google Chrome
117.0.5938.132, που διατίθεται παγκοσμίως σε χρήστες
Windows
, Mac και Linux στο κανάλι Stable Desktop.
Ενώ η συμβουλή λέει ότι πιθανότατα θα χρειαστούν ημέρες ή εβδομάδες έως ότου η επιδιορθωμένη έκδοση φτάσει σε ολόκληρη τη βάση χρηστών, η ενημέρωση ήταν αμέσως διαθέσιμη όταν το BleepingComputer έλεγξε για ενημερώσεις.
Το πρόγραμμα περιήγησης ιστού θα ελέγχει επίσης αυτόματα για νέες ενημερώσεις και θα τις εγκαταστήσει αυτόματα μετά την επόμενη εκκίνηση.
Εκμεταλλεύεται σε επιθέσεις spyware
Η ευπάθεια μηδενικής ημέρας υψηλής σοβαρότητας (
CVE-2023-5217
) προκαλείται από α
υπερχείλιση buffer σωρού
αδυναμία στην κωδικοποίηση VP8 της βιβλιοθήκης κωδικοποιητών βίντεο libvpx ανοιχτού κώδικα, ένα ελάττωμα του οποίου ο αντίκτυπος κυμαίνεται από σφάλματα εφαρμογής έως αυθαίρετη εκτέλεση κώδικα.
Το σφάλμα αναφέρθηκε από τον ερευνητή ασφαλείας της Ομάδας Ανάλυσης Απειλών Google (TAG) Clément Lecigne τη Δευτέρα 25 Σεπτεμβρίου.
Οι ερευνητές της Google TAG είναι γνωστοί για το ότι συχνά βρίσκουν και αναφέρουν κατάχρηση μηδενικών ημερών σε στοχευμένες επιθέσεις spyware από φορείς απειλών που χρηματοδοτούνται από την κυβέρνηση και ομάδες hacking που στοχεύουν άτομα υψηλού κινδύνου, όπως δημοσιογράφους και πολιτικούς της αντιπολίτευσης.
Σήμερα, η Maddie Stone του Google TAG αποκάλυψε ότι η ευπάθεια CVE-2023-5217 zero-day έγινε αντικείμενο εκμετάλλευσης για την εγκατάσταση spyware.
Μαζί με τους ερευνητές του Citizen Lab, η Google TAG αποκάλυψε επίσης την Παρασκευή ότι τρεις ημέρες μηδέν που διορθώθηκαν από την Apple την περασμένη Πέμπτη χρησιμοποιήθηκαν για την εγκατάσταση του λογισμικού κατασκοπείας Predator της Cytrox μεταξύ Μαΐου και Σεπτεμβρίου 2023.
Παρόλο που η Google δήλωσε σήμερα ότι το CVE-2023-5217 zero-day είχε γίνει αντικείμενο εκμετάλλευσης σε επιθέσεις, η εταιρεία δεν έχει ακόμη κοινοποιήσει περισσότερες πληροφορίες σχετικά με αυτά τα περιστατικά.
“Η πρόσβαση σε λεπτομέρειες σφαλμάτων και συνδέσμους μπορεί να παραμείνει περιορισμένη έως ότου η πλειοψηφία των χρηστών ενημερωθεί με μια επιδιόρθωση”, δήλωσε η Google. “Θα διατηρήσουμε επίσης περιορισμούς εάν το σφάλμα υπάρχει σε μια βιβλιοθήκη τρίτου μέρους από την οποία εξαρτώνται παρομοίως άλλα έργα, αλλά δεν έχουν ακόμη επιδιορθωθεί.”
Ως άμεσο αποτέλεσμα, οι χρήστες του Google Chrome θα έχουν αρκετό χρόνο για να ενημερώσουν τα προγράμματα περιήγησής τους ως προληπτικό μέτρο έναντι πιθανών επιθέσεων.
Αυτή η προληπτική προσέγγιση μπορεί να συμβάλει στον μετριασμό του κινδύνου των παραγόντων απειλών να δημιουργήσουν τα δικά τους exploits και να τα αναπτύξουν σε σενάρια πραγματικού κόσμου, ιδιαίτερα όταν γίνονται διαθέσιμες περισσότερες τεχνικές λεπτομέρειες.
Η Google διόρθωσε άλλο ένα zero-day (παρακολουθείται ως
CVE-2023-4863
) εκμεταλλεύτηκε στη φύση πριν από δύο εβδομάδες, η τέταρτη από την αρχή του έτους.
Ενώ αρχικά το επισήμανε ως ελάττωμα του Chrome, η εταιρεία αργότερα ανέθεσε ένα άλλο CVE (
CVE-2023-5129
) και μια μέγιστη βαθμολογία σοβαρότητας 10/10, επισημαίνοντάς την ως κρίσιμη ευπάθεια ασφαλείας στο libwebp (μια βιβλιοθήκη που χρησιμοποιείται από μεγάλο αριθμό έργων, συμπεριλαμβανομένων
Σήμα
,
1 Κωδικός πρόσβασης
Mozilla Firefox, Microsoft
Edge
, Apple’s Safari και το εγγενές πρόγραμμα περιήγησης ιστού Android).