Moderní technologie nám dává mnoho věcí.

Nouzová aktualizace Google Chrome opravuje 6. zero-day zneužití v roce 2023


Google opravil svou šestou chybu zabezpečení zero-day φέτος σε α επείγουσα ενημέρωση ασφαλείας που κυκλοφόρησε σήμερα για την αντιμετώπιση της συνεχιζόμενης εκμετάλλευσης σε επιθέσεις.

Η εταιρεία αναγνώρισε την ύπαρξη ενός exploit για το (που παρακολουθείται ως CVE-2023-6345) σε μια νέα συμβουλή ασφαλείας που δημοσιεύτηκε σήμερα.

„Google si je vědom toho, že ve volné přírodě existuje exploit pro CVE-2023-6345,“ uvedla společnost řekl.

Tato zranitelnost je nyní řešena v kanálu Stable Desktop s aktualizacemi globálně zaváděnými pro uživatele Windows (119.0.6045.199/.200) a uživatele Mac, a (119.0.6045.199).

Ačkoli upozornění říká, že aktualizace zabezpečení může trvat dny nebo týdny, než se dostane k celé uživatelské základně, byla k dispozici okamžitě, když BleepingComputer dnes zjišťoval aktualizace.

Webový prohlížeč automaticky zkontroluje nové aktualizace a nainstaluje je po příštím spuštění pro uživatele, kteří to nechtějí dělat ručně.

Chrome 119.0.6045.199

Možné zneužití při spywarových útocích

Tato velmi závažná zranitelnost zero-day pramení ze zranitelnosti přetečení celého čísla v Stín open source 2D grafická knihovna, která s sebou nese rizika sahající od chyb až po libovolné spouštění kódu (Skia je také používána jako grafický engine jinými produkty, jako je ChromeOS, Android a Flutter).

Chybu nahlásili v pátek 24. listopadu Benoît Sevens a Clément Lecigne, dva bezpečnostní výzkumníci z týmu Google pro analýzu hrozeb (TAG).

Google TAG je známý pro své nula dnů, často využívané vládními hackerskými skupinami ve spywarových kampaních zaměřených na vysoce postavené osoby, jako jsou novináři a opoziční politici.

Společnost tvrdí, že přístup k podrobnostem zero-day může zůstat omezený, dokud většina uživatelů neaktualizuje své prohlížeče, přičemž omezení se prodlouží, pokud chyba postihne také software třetích stran, který ještě nebyl opraven.

„Přístup k podrobnostem o chybách a odkazům může zůstat omezen, dokud nebude většina uživatelů aktualizována opravou. Omezení zachováme také v případě, že chyba existuje v knihovně třetí strany, na které podobně závisejí jiné projekty, ale dosud nebyla opravena,“ uvedla společnost.

Cílem je snížit pravděpodobnost, že aktéři hrozeb vyvinou své vlastní exploity CVE-2023-6345 využitím nových technických informací zveřejněných o této zranitelnosti.

V září Google opravil dva další zero-days (sledované jako CVE-2023-5217 a CVE-2023-4863), které byly zneužity při útocích, čtvrtý a pátý od začátku roku 2023.

Aktualizace: Upravený příběh a název, aby bylo možné správně označit zero-day jako šestý opravený tento rok.



VIA: bleepingcomputer.com

Sledujte TechWar.gr ve Zprávách Google

Odpověď