Η Google διόρθωσε την έκτη ευπάθεια του
Chrome
zero-day φέτος σε μια επείγουσα ενημέρωση ασφαλείας που κυκλοφόρησε
σήμερα
για την αντιμετώπιση της συνεχιζόμενης εκμετάλλευσης σε επιθέσεις.
Η εταιρεία αναγνώρισε την ύπαρξη ενός exploit για το ελάττωμα ασφαλείας (που παρακολουθείται ως CVE-2023-6345) σε μια νέα συμβουλή ασφαλείας που δημοσιεύτηκε σήμερα.
“Η Google γνωρίζει ότι μια εκμετάλλευση για το CVE-2023-6345 υπάρχει στη φύση”, η εταιρεία
είπε
.
Η ευπάθεια αντιμετωπίζεται τώρα στο κανάλι Stable
Desktop
, με τις ενημερωμένες εκδόσεις να κυκλοφορούν παγκοσμίως σε χρήστες Windows (119.0.6045.199/.200) και χρήστες Mac και
Linux
(119.0.6045.199).
Αν και η συμβουλή λέει ότι η ενημέρωση ασφαλείας μπορεί να χρειαστούν ημέρες ή εβδομάδες για να φτάσει σε ολόκληρη τη βάση χρηστών, ήταν διαθέσιμη αμέσως όταν το BleepingComputer έλεγξε για ενημερώσεις νωρίτερα σήμερα.
Το πρόγραμμα περιήγησης ιστού θα ελέγξει αυτόματα για νέες ενημερώσεις και θα τις εγκαταστήσει μετά την επόμενη εκκίνηση για χρήστες που δεν θέλουν να το κάνουν με μη αυτόματο τρόπο.
Πιθανή εκμετάλλευση σε επιθέσεις spyware
Αυτή η ευπάθεια μηδενικής ημέρας υψηλής σοβαρότητας προέρχεται από μια αδυναμία υπερχείλισης ακεραίων στο
Σκιά
βιβλιοθήκη γραφικών 2D ανοιχτού κώδικα, που ενέχει κινδύνους που κυμαίνονται από σφάλματα έως την εκτέλεση αυθαίρετου κώδικα (το Skia χρησιμοποιείται επίσης ως μηχανή γραφικών από άλλα
προϊόντα
όπως το ChromeOS, το Android και το Flutter).
Το σφάλμα αναφέρθηκε την Παρασκευή, 24 Νοεμβρίου, από τους Benoît Sevens και Clément Lecigne, δύο ερευνητές ασφαλείας της Ομάδας Ανάλυσης απειλών (TAG) της Google.
Το Google TAG είναι γνωστό για την αποκάλυψη των ημερών μηδέν, που συχνά εκμεταλλεύονται κρατικές ομάδες χάκερ σε εκστρατείες spyware που στοχεύουν άτομα υψηλού προφίλ, όπως δημοσιογράφους και πολιτικούς της αντιπολίτευσης.
Η εταιρεία λέει ότι η πρόσβαση στις λεπτομέρειες του zero-day ενδέχεται να παραμείνει περιορισμένη έως ότου οι περισσότεροι χρήστες έχουν ενημερώσει το πρόγραμμα περιήγησής τους, με τον περιορισμό να επεκταθεί εάν το ελάττωμα επηρεάζει επίσης το λογισμικό τρίτων κατασκευαστών που δεν έχει ακόμη επιδιορθωθεί.
“Η πρόσβαση σε λεπτομέρειες και συνδέσμους σφαλμάτων ενδέχεται να παραμείνει περιορισμένη έως ότου η πλειονότητα των χρηστών ενημερωθεί με μια επιδιόρθωση. Θα διατηρήσουμε επίσης περιορισμούς εάν το σφάλμα υπάρχει σε μια βιβλιοθήκη τρίτου μέρους από την οποία εξαρτώνται παρομοίως άλλα έργα, αλλά δεν έχουν επιδιορθωθεί ακόμη, ” είπε η εταιρεία.
Αυτό στοχεύει να μειώσει την πιθανότητα οι παράγοντες απειλής να αναπτύξουν τα δικά τους εκμεταλλεύσεις CVE-2023-6345, εκμεταλλευόμενοι τις νέες τεχνικές πληροφορίες που κυκλοφόρησαν σχετικά με την ευπάθεια.
Τον Σεπτέμβριο, η Google διόρθωσε δύο άλλες μηδενικές ημέρες (που παρακολουθούνται ως CVE-2023-5217 και CVE-2023-4863) που εκμεταλλεύτηκαν σε επιθέσεις, την τέταρτη και την πέμπτη από τις αρχές του 2023.
Ενημέρωση: Αναθεωρημένη ιστορία και τίτλος για να επισημάνετε σωστά το zero-day ως το έκτο που διορθώθηκε φέτος.
VIA:
bleepingcomputer.com