Security

Η Google διορθώνει ένα άλλο σφάλμα μηδενικής ημέρας του Chrome που εκμεταλλεύεται σε επιθέσεις

By

Marizas Dimitris

On

Σεπ 12, 2023

Η Google κυκλοφόρησε ενημερώσεις ασφαλείας έκτακτης ανάγκης για να διορθώσει την τέταρτη ευπάθεια του Chrome zero-day που εκμεταλλεύτηκε σε επιθέσεις από την αρχή του έτους.

“Η Google γνωρίζει ότι υπάρχει εκμετάλλευση για το CVE-

2023

-4863 στη φύση”, αποκάλυψε η εταιρεία σε μια

συμβουλευτική για την ασφάλεια

δημοσιεύθηκε τη Δευτέρα.

Αυτήν τη στιγμή, η νέα έκδοση κυκλοφορεί σε χρήστες στα σταθερά κανάλια Stable και Extended και εκτιμάται ότι θα φτάσει σε ολόκληρη τη βάση χρηστών τις επόμενες ημέρες ή εβδομάδες.

Συνιστάται στους χρήστες του Chrome να αναβαθμίσουν το πρόγραμμα περιήγησής τους στην έκδοση 116.0.5845.187 (Mac και Linux) και 116.0.5845.187/.188 (Windows) το συντομότερο δυνατό, καθώς διορθώνει την ευπάθεια CVE-2023-4863 σε Windows, Mac και Συστήματα Linux.

Αυτή η ενημέρωση ήταν άμεσα διαθέσιμη όταν το BleepingComputer έλεγξε για νέες ενημερώσεις μέσω του μενού του Chrome > Βοήθεια >

Σχετικά με

το Google Chrome.

Το πρόγραμμα περιήγησης ιστού θα ελέγξει επίσης για νέες ενημερώσεις και θα τις εγκαταστήσει αυτόματα χωρίς να απαιτείται αλληλεπίδραση με τον χρήστη μετά από επανεκκίνηση.

, Η Google διορθώνει ένα άλλο σφάλμα μηδενικής ημέρας του Chrome που εκμεταλλεύεται σε επιθέσεις, TechWar.gr

Οι λεπτομέρειες της επίθεσης δεν είναι ακόμη διαθέσιμες

Η κρίσιμη ευπάθεια zero-day (

CVE-2023-4863

) προκαλείται από ένα WebP

υπερχείλιση buffer σωρού

αδυναμία της οποίας ο αντίκτυπος κυμαίνεται από σφάλματα έως αυθαίρετη εκτέλεση κώδικα.

Το σφάλμα αναφέρθηκε από την

Apple

Security Engineering and Architecture (SEAR) και το The Citizen Lab στο Munk School του Πανεπιστημίου του

Τορόντο

την περασμένη Τετάρτη, 6 Σεπτεμβρίου.

Οι ερευνητές ασφάλειας του Citizen Lab έχουν συχνά βρει και αποκαλύπτουν σφάλματα zero-day που καταχρώνται σε επιθέσεις υψηλής στόχευσης spyware από φορείς απειλών που υποστηρίζονται από την κυβέρνηση και στοχεύουν άτομα υψηλού κινδύνου, όπως πολιτικούς της αντιπολίτευσης, δημοσιογράφους και αντιφρονούντες σε όλο τον κόσμο.

Την Πέμπτη, η Apple επιδιορθώνει δύο μηδενικές ημέρες με ετικέτα από το Citizen Lab ως εκμετάλλευση σε επιθέσεις ως μέρος μιας αλυσίδας εκμετάλλευσης γνωστής ως BLASTPASS για να μολύνει πλήρως επιδιορθωμένα

iPhone

με το μισθοφόρο λογισμικό κατασκοπείας Pegasus του Ομίλου NSO.

Ενώ η Google είπε ότι το CVE-2023-4863 zero-day έχει γίνει αντικείμενο εκμετάλλευσης στη φύση, η εταιρεία δεν έχει ακόμη κοινοποιήσει περισσότερες λεπτομέρειες σχετικά με αυτές τις επιθέσεις.

“Η πρόσβαση σε λεπτομέρειες σφαλμάτων και συνδέσμους μπορεί να παραμείνει περιορισμένη έως ότου η πλειοψηφία των χρηστών ενημερωθεί με μια επιδιόρθωση”, δήλωσε η Google. “Θα διατηρήσουμε επίσης περιορισμούς εάν το σφάλμα υπάρχει σε μια βιβλιοθήκη τρίτου μέρους από την οποία εξαρτώνται παρομοίως άλλα έργα, αλλά δεν έχουν ακόμη επιδιορθωθεί.”

Αυτό σημαίνει ότι οι χρήστες του Chrome μπορούν να ενημερώσουν τα προγράμματα περιήγησής τους για να αποτρέψουν επιθέσεις πριν από την κυκλοφορία πρόσθετων τεχνικών στοιχείων, τα οποία θα μπορούσαν να επιτρέψουν σε περισσότερους παράγοντες απειλών να δημιουργήσουν τα δικά τους εκμεταλλεύσεις και να τα αναπτύξουν στη φύση.

bleepingcomputer.com

Παρόμοια άρθρα