Google нулёвка: шпионское ПО проникает через новую дыру Chrome

За последние несколько месяцев компания Google активно борется с угрозами безопасности, связанными с браузером Chrome. Очередное обновление, направленное на устранение уязвимостей, было выпущено в срочном порядке в связи с обнаружением пятой по счету 0day-уязвимости с начала года.

Согласно заявлению компании, Google осведомлена о том, что CVE-2023-5217 активно эксплуатируется в реальных условиях. Данная уязвимость была исправлена в версии Google Chrome 117.0.5938.132 для Windows, Mac и Linux. Помимо обновления, браузер будет автоматически проверять наличие новых версий и устанавливать их после следующего запуска, чтобы все пользователи получили обновление.

Уязвимость CVE-2023-5217, отнесенная к категории высокой степени опасности, связана с переполнением буфера кучи в кодировке VP8 открытой библиотеки видеокодеков libvpx от Google и Alliance for Open Media (AOMedia). Недостаток может привести к сбоям приложений и выполнению произвольного кода. Отмечается, что ошибка использовалась для установки шпионского ПО. Уязвимость была обнаружена исследователем безопасности из группы анализа угроз Google TAG 25 сентября.

Несмотря на подтверждение Google о том, что уязвимость CVE-2023-5217 была использована в атаках, компания пока не предоставила дополнительной информации по инцидентам. Согласно заявлению, доступ к деталям ошибки и связанным ссылкам может оставаться ограниченным до тех пор, пока большинство пользователей не обновят свои браузеры. Такой подход поможет предотвратить возможные атаки в будущем, особенно по мере того, как становятся доступными больше технических деталей.

Также стоит отметить, что Google исправила еще одну уязвимость нулевого дня CVE-2023-4863 всего 2 недели назад, что стало четвертым случаем с начала года. Сначала компания отнесла случай к ошибкам Chrome, но затем присвоила другой идентификатор CVE (CVE-2023-5129) и уровень опасности 10/10, обозначив недостаток как критическую угрозу безопасности в библиотеке libwebp, используемой многими проектами, включая Signal, 1Password, Mozilla Firefox, Microsoft Edge, Apple's Safari и встроенный веб-браузер Android.