Η Google διορθώνει το νέο ελάττωμα του Chrome zero-day με exploit in the wild
Related Posts
Η
Google
κυκλοφόρησε μια ενημέρωση ασφαλείας για το πρόγραμμα περιήγησης ιστού Chrome για την αντιμετώπιση της τρίτης ευπάθειας zero-day που εκμεταλλεύτηκαν οι χάκερ φέτος.
“Η Google γνωρίζει ότι μια εκμετάλλευση για το CVE-2023-3079 υπάρχει στη φύση”, αναφέρει το
δελτίο ασφαλείας
.
Άγνωστες λεπτομέρειες εκμετάλλευσης
Η εταιρεία δεν έδωσε στη δημοσιότητα λεπτομέρειες σχετικά με το πώς το exploit και πώς χρησιμοποιήθηκε σε επιθέσεις, περιορίζοντας τις πληροφορίες στη σοβαρότητα του ελαττώματος και τον τύπο του.
Η απόκρυψη τεχνικών πληροφοριών είναι η συνήθης στάση της Google όταν εντοπίζεται νέο ζήτημα ασφαλείας. Αυτό γίνεται για την προστασία των χρηστών έως ότου οι περισσότεροι από αυτούς μετεγκατασταθούν σε ασφαλή έκδοση, καθώς οι αντίπαλοι θα μπορούσαν να χρησιμοποιήσουν τις λεπτομέρειες για να αναπτύξουν πρόσθετα exploit.
“Η πρόσβαση σε λεπτομέρειες και συνδέσμους σφαλμάτων ενδέχεται να παραμείνει περιορισμένη έως ότου η πλειονότητα των χρηστών ενημερωθεί με μια επιδιόρθωση. Θα διατηρήσουμε επίσης περιορισμούς εάν το σφάλμα υπάρχει σε μια βιβλιοθήκη τρίτου μέρους από την οποία εξαρτώνται παρομοίως άλλα έργα, αλλά δεν έχουν ακόμη επιδιορθωθεί” – Google
Το CVE-2023-3079 έχει αξιολογηθεί ως ένα ζήτημα υψηλής σοβαρότητας και ανακαλύφθηκε από τον ερευνητή της Google, Clément Lecigne, την 1η Ιουνίου 2023, και είναι μια σύγχυση τύπου στο V8, τη μηχανή JavaScript του Chrome που επιφορτίζεται με την εκτέλεση κώδικα μέσα στο πρόγραμμα περιήγησης.
Σφάλματα σύγχυσης τύπων προκύπτουν όταν ο κινητήρας ερμηνεύει εσφαλμένα τον τύπο ενός αντικειμένου κατά τη διάρκεια του χρόνου εκτέλεσης, οδηγώντας ενδεχομένως σε κακόβουλο χειρισμό μνήμης και αυθαίρετη εκτέλεση κώδικα.
Η πρώτη ευπάθεια zero-day που διόρθωσε η Google στο Chrome φέτος ήταν το CVE-2023-2033, το οποίο είναι επίσης ένα σφάλμα σύγχυσης τύπου στη μηχανή JavaScript V8.
Λίγες μέρες αργότερα, η Google κυκλοφόρησε μια επείγουσα ενημέρωση ασφαλείας για το Chrome για να επιδιορθώσει το CVE-2023-2136, μια ευπάθεια που εκμεταλλεύτηκε ενεργά τη βιβλιοθήκη γραφικών 2D του προγράμματος περιήγησης, Skia.
Τα τρωτά σημεία μηδενικής ημέρας συχνά εκμεταλλεύονται εξελιγμένους φορείς απειλών που χρηματοδοτούνται από το κράτος, στοχεύοντας κυρίως σε πρόσωπα υψηλού προφίλ εντός της κυβέρνησης, των μέσων ενημέρωσης ή άλλων ζωτικών οργανισμών. Επομένως, συνιστάται ανεπιφύλακτα σε όλους τους χρήστες του Chrome να εγκαταστήσουν τη διαθέσιμη ενημέρωση ασφαλείας το συντομότερο δυνατό.
Μαζί με τη διόρθωση μιας νέας ημέρας μηδέν, η πιο πρόσφατη έκδοση του Chrome αντιμετωπίζει διάφορα ζητήματα που ανακαλύφθηκαν από εσωτερικούς ελέγχους και ανάλυση ασαφούς κώδικα.
Η Google λέει ότι η ενημέρωση θα κυκλοφορήσει τις επόμενες ημέρες/εβδομάδες, επομένως πρόκειται για μια σταδιακή διανομή που δεν θα φτάσει σε όλους ταυτόχρονα.
Ενημερώστε το πρόγραμμα περιήγησης Chrome
Για να ξεκινήσετε τη διαδικασία ενημέρωσης του Chrome με μη αυτόματο τρόπο στην πιο πρόσφατη έκδοση που αντιμετωπίζει το ενεργά εκμεταλλευόμενο ζήτημα ασφαλείας, μεταβείτε στο μενού ρυθμίσεων του Chrome (πάνω δεξιά γωνία) και επιλέξτε Βοήθεια → Σχετικά με το Google Chrome.
Απαιτείται επανεκκίνηση της εφαρμογής για την ολοκλήρωση της ενημέρωσης.
Οι διαθέσιμες ενημερώσεις ασφαλείας εγκαθίστανται επίσης αυτόματα την επόμενη φορά που θα ξεκινήσει το πρόγραμμα περιήγησης χωρίς παρέμβαση χρήστη, επομένως ελέγξτε τη σελίδα “Πληροφορίες” για να βεβαιωθείτε ότι χρησιμοποιείτε την πιο πρόσφατη έκδοση.
Η νέα έκδοση σταθερού καναλιού που αντιμετωπίζει το ελάττωμα που έχει ένα exploit στη φύση είναι η έκδοση 114.0.5735.110 για
Windows
και 114.0.5735.106 για Mac και Linux.
