Google выкатил внеплановое исправление для браузера Chrome в связи с обнаружением в нем высокоопасной (в некоторых источниках — критической) уязвимости, которая уже подвергается активной эксплуатации.

«Баг» под индексом CVE-2023-6345 относится к классу «целочисленного переполнения», и непосредственно затрагивает опенсорсную библиотеку ускорения 2D-графики Skia, которую браузер использует для отрисовки веб-страниц.

Эта уязвимость означает, что злоумышленник с помощью специально подготовленного файла может обойти защитные механизмы Chrome — т.е. выйти за пределы «песочницы».

Проблему выявили сотрудники подразделения Google Threat Analysis Group Бенуа Севан (Benoît Sevens) и Клеман Лесинь (Clément Lecigne).

Уязвимыми являются все версии Chrome, кроме самой последней — 119.0.6045.199, вне зависимости от операционной системы (Windows, Mac или Linux). Уже сейчас, если зайти в настройках Chrome в раздел «О браузере Chrome», автоматически начинается скачивание и установка защищенной версии.

«Выход за пределы «песочницы» — защищенной среды в Chrome означает, что потенциальный злоумышленник может запустить в контекст браузера произвольный вредоносный код», — указывает директор по информационной безопасности компании SEQ Анастасия Мельникова. По ее мнению, в Chrome встроена служба повышения привилегий, которая обеспечивает браузеру возможность производить некоторые операции с административными правами в системе. «В результате злоумышленники путем ряда манипуляций могут получить полный контроль над системой, в которой функционирует неисправленная версия браузера. Поэтому затягивать с обновлением ни в коем случае не стоит, благо вся процедура занимает считанные секунды», — заключила она.

Помимо критической, обновление Chrome устраняет шесть других высокоопасных уязвимостей. Но только CVE-2023-6345 является уязвимостью «нулевого дня», то есть, ее эксплуатация началась до того, как вендору стало известно о ней. Оценка по шкале угроз CVSS ей еще не выставлена, но высокоопасный статус означает, что выше 8,9 баллов ей не присвоят.

В апреле 2023 г., как отмечает издание The Hacker News, Google уже исправлял похожую уязвимость (CVE-2023-2136) в том же самом компоненте. Единственное отличие, для ее эксплуатации нужен был не специальный файл, а HTML-страница.

Всего с начала года Google был вынужден устранить семь уязвимостей нулевого дня в своем браузере.

Источник: https://safe.cnews.ru/news/top/2023-12-04_uyazvimost_nulevogo_dnya

Ваша реакция?
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x