Для некоторых пользователей Chrome на Mac, Linux и Windows стало доступно критически важное обновление безопасности, исправляющее уязвимость «нулевого дня» (zero-day), что может сделать системы уязвимыми к краже данных и другим кибератакам.
Во вторник Google подтвердила в обновлении стабильного канала Chrome, что ей «известно о существовании эксплойта для сборки CVE-2023-6345». Уязвимость обнаружили 24 ноября два исследователя безопасности, работающих в рамках Google Threat Analysis Group (TAG).
Google пока не обнародовала многие детали об эксплойте CVE-2023-6345, но это нормально, сообщает The Verge. Google, как и многие другие технологические компании, обычно предпочитает держать информацию об уязвимости в тайне до тех пор, пока они не будут устранены, поскольку подробная информация может облегчить злоумышленникам эксплуатацию незащищенных пользователей Chrome. Неизвестно, как долго уязвимость использовалась до ее обнаружения на прошлой неделе.
Известно, что CVE-2023-6345 — это уязвимость из-за целочисленного переполнения, влияющего на Skia, библиотеку 2D-графики с открытым исходным кодом в графическом движке Chrome. Эксплойт позволил как минимум одному злоумышленнику «потенциально осуществить выход из песочницы с помощью вредоносного файла». Он потенциально может быть использован для заражения уязвимых систем вредоносным кодом и похищения конфиденциальных данных пользователей.
Если в вашем браузере Chrome установлено автоматическое обновление, возможно, не требуется никаких мер. Всем остальным следует обновить его вручную до последней версии (119.0.6045.199 для Mac и Linux и 119.0.6045.199/.200 для Windows) в настройках Google Chrome, чтобы избежать уязвимости системы. Google сообщает, что исправление будет внедрено «в течение ближайших дней/недель», возможно его нужно будет подождать.