Для деяких користувачів Chrome на Mac, Linux і Windows стало доступне критично важливе оновлення безпеки, яке виправляє вразливість «нульового дня» (zero-day), що може зробити системи вразливими до крадіжки даних та інших кібератак.
У вівторок Google підтвердила в оновленні стабільного каналу Chrome, що їй «відомо про існування експлойту для збірки CVE-2023-6345». Вразливість виявили 24 листопада два дослідники безпеки, які працюють в рамках Google Threat Analysis Group (TAG).
Google поки що не оприлюднила багато деталей про експлойт CVE-2023-6345, але це нормально, повідомляє The Verge. Google, як і багато інших технологічних компаній, зазвичай вважає за краще тримати інформацію про вразливості в таємниці до тих пір, поки вони не будуть в усунені, оскільки детальна інформація може полегшити зловмисникам експлуатацію незахищених користувачів Chrome. Невідомо, як довго вразливість використовувалася до її виявлення минулого тижня.
Наразі відомо, що CVE-2023-6345 — це вразливість через цілочисельне переповнення, яка впливає на Skia, бібліотеку 2D-графіки з відкритим вихідним кодом у графічному рушії Chrome. Експлойт дав змогу принаймні одному зловмиснику «потенційно здійснити вихід з пісочниці за допомогою шкідливого файлу». Його потенційно може бути використано для зараження вразливих систем шкідливим кодом і викрадення конфіденційних даних користувачів.
Якщо у вашому браузері Chrome налаштовано автоматичне оновлення, вам, можливо, не потрібно вживати жодних заходів. Всім іншим варто оновити його вручну до останньої версії (119.0.6045.199 для Mac і Linux та 119.0.6045.199/.200 для Windows) у налаштуваннях Google Chrome, щоб уникнути вразливості вашої системи. Google повідомляє, що виправлення буде впроваджено «протягом найближчих днів/тижнів», можливо його треба буде почекати.