Пользователям браузера Google Chrome рекомендуется как можно скорее установить и активировать последнее обновление.
Google выпустил обновления безопасности для Chrome, чтобы исправить семь уязвимостей, включая уязвимость нулевого дня, которая активно использовалась злоумышленниками.
Уязвимость, обозначенная как CVE-2023-6345, представляет собой серьёзный баг целочисленного переполнения в Skia, открытой библиотеке 2D графики. Её обнаружили Бенуа Севенс и Клеман Лесинь из Группы анализа угроз Google (TAG) 24 ноября 2023 года.
Google подтвердил, что существует эксплоит для CVE-2023-6345, но не раскрывает подробности об атаках или угрозах, связанных с её использованием.
Отмечается, что в апреле 2023 года Google уже выпускал патч для аналогичной уязвимости целочисленного переполнения в Skia (CVE-2023-2136), которая также активно эксплуатировалась. Существует вероятность, что CVE-2023-6345 может обходить этот патч.
CVE-2023-2136 позволяла удаленному атакующему, скомпрометировавшему процесс рендеринга, потенциально осуществить побег из песочницы через специально созданную HTML-страницу.
Компания с начала года исправила семь уязвимостей нулевого дня в Chrome, включая:
Пользователям рекомендуется обновиться до версии Chrome 119.0.6045.199/.200 для Windows и 119.0.6045.199 для macOS и Linux, чтобы предотвратить потенциальные угрозы. Также советуют обновиться пользователям браузеров на базе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi, как только станут доступны соответствующие обновления.
Гравитация научных фактов сильнее, чем вы думаете