Η Google διορθώνει την 8η μηδενική ημέρα του Chrome που εκμεταλλεύεται σε επιθέσεις φέτος

Η

Google

κυκλοφόρησε ενημερώσεις έκτακτης ανάγκης για να διορθώσει μια άλλη ευπάθεια του Chrome zero-day που αξιοποιήθηκε στη φύση, η όγδοη που διορθώθηκε από την αρχή του έτους.

“Η Google γνωρίζει ότι μια εκμετάλλευση για το CVE-2023-7024 υπάρχει στη φύση”, ένα

συμβουλευτική για την ασφάλεια

που δημοσιεύθηκε την Τετάρτη είπε.

Η εταιρεία διόρθωσε το σφάλμα zero-day για τους χρήστες στο κανάλι

Stable

Desktop, με τις ενημερωμένες εκδόσεις να κυκλοφορούν παγκοσμίως σε χρήστες Windows (120.0.6099.129/130) και χρήστες Mac και Linux (120.0.6099.129) μία ημέρα μετά την αναφορά στην Google.

Το σφάλμα ανακαλύφθηκε και αναφέρθηκε από τους Clément Lecigne και Vlad Stolyarov της Ομάδας Ανάλυσης Απειλών (TAG) της Google, μιας συλλογικότητας εμπειρογνωμόνων ασφαλείας των οποίων πρωταρχικός στόχος είναι η υπεράσπιση των πελατών της Google από κρατικές επιθέσεις.

Η Ομάδα Ανάλυσης Απειλών (TAG) της Google ανακαλύπτει συχνά σφάλματα μηδενικής ημέρας που εκμεταλλεύονται φορείς απειλών που χρηματοδοτούνται από την κυβέρνηση σε στοχευμένες επιθέσεις με στόχο την ανάπτυξη spyware σε συσκευές ατόμων υψηλού κινδύνου, συμπεριλαμβανομένων πολιτικών της αντιπολίτευσης, αντιφρονούντων και δημοσιογράφων.

Παρόλο που η

ενημέρωση

ασφαλείας θα μπορούσε να πάρει μέρες ή εβδομάδες για να φτάσει σε όλους τους χρήστες, σύμφωνα με την Google, ήταν διαθέσιμη αμέσως όταν το BleepingComputer έλεγξε για ενημερώσεις νωρίτερα σήμερα.

Τα άτομα που προτιμούν να μην ενημερώνονται με μη αυτόματο τρόπο μπορούν να βασίζονται στο πρόγραμμα περιήγησής τους για να ελέγχει αυτόματα για νέες ενημερώσεις και να τις εγκαταστήσει κατά την επόμενη εκκίνηση.

Το όγδοο Chrome zero-day επιδιορθώθηκε φέτος

Η ευπάθεια μηδενικής ημέρας υψηλής σοβαρότητας (

CVE-2023-7024

) οφείλεται σε α

υπερχείλιση buffer σωρού

αδυναμία στο πλαίσιο WebRTC ανοιχτού κώδικα σε πολλά άλλα προγράμματα περιήγησης ιστού, όπως το

Mozilla Firefox

, το Safari και το Microsoft Edge, να παρέχουν δυνατότητες επικοινωνίας σε πραγματικό χρόνο (RTC) (π.χ. ροή βίντεο, κοινή χρήση αρχείων και τηλεφωνία

VoIP

) μέσω JavaScript API .

Ενώ η Google γνωρίζει ότι το CVE-2023-7024 χρησιμοποιήθηκε ως μηδενική ημέρα στη φύση, δεν έχει ακόμη κοινοποιήσει περαιτέρω λεπτομέρειες σχετικά με αυτά τα περιστατικά.

“Η πρόσβαση σε λεπτομέρειες σφαλμάτων και συνδέσμους μπορεί να παραμείνει περιορισμένη έως ότου η πλειοψηφία των χρηστών ενημερωθεί με μια επιδιόρθωση”, δήλωσε η Google.

“Θα διατηρήσουμε επίσης περιορισμούς εάν το σφάλμα υπάρχει σε μια βιβλιοθήκη τρίτου μέρους από την οποία εξαρτώνται παρομοίως άλλα έργα, αλλά δεν έχουν ακόμη επιδιορθωθεί.”

Αυτό στοχεύει να μειώσει την πιθανότητα οι φορείς απειλής να αναπτύξουν τα δικά τους εκμεταλλεύσεις CVE-2023-7024, εμποδίζοντάς τους να επωφεληθούν από τις νέες τεχνικές πληροφορίες που κυκλοφόρησαν.

Προηγουμένως, η Google διορθώθηκε επτά άλλες μηδενικές ημέρες που χρησιμοποιήθηκαν σε επιθέσεις, οι οποίες παρακολουθήθηκαν ως CVE-2023-6345, CVE-2023-5217, CVE-2023-4863, CVE-2023-3079, CVE-2023-4762, CVE-23 και CVE-2023-2033.

Ορισμένα από αυτά, όπως το CVE-2023-4762, επισημάνθηκαν ως σφάλματα zero-day που χρησιμοποιήθηκαν για την ανάπτυξη spyware εβδομάδες μετά την κυκλοφορία ενημερώσεων κώδικα από την εταιρεία.