Google выкатил внеплановое исправление для браузера Chrome в связи с обнаружением в нем высокоопасной (в некоторых источниках – критической) уязвимости, которая уже подвергается активной эксплуатации.
«Баг» под индексом CVE-2023-6345 относится к классу «целочисленного переполнения», и непосредственно затрагивает опенсорсную библиотеку ускорения 2D-графики Skia, которую браузер использует для отрисовки веб-страниц.
Эта уязвимость означает, что злоумышленник с помощью специально подготовленного файла может обойти защитные механизмы Chrome – т.е. выйти за пределы «песочницы».
Проблему выявили сотрудники подразделения Google Threat Analysis Group Бенуа Севан (Benoît Sevens) и Клеман Лесинь (Clément Lecigne).
Уязвимыми являются все версии Chrome, кроме самой последней – 119.0.6045.199, вне зависимости от операционной системы (Windows, Mac или Linux). Уже сейчас, если зайти в настройках Chrome в раздел «О браузере Chrome», автоматически начинается скачивание и установка защищенной версии.
«Выход за пределы «песочницы» – защищенной среды в Chrome означает, что потенциальный злоумышленник может запустить в контекст браузера произвольный вредоносный код», – указывает директор по информационной безопасности компании SEQ Анастасия Мельникова. По ее мнению, в Chrome встроена служба повышения привилегий, которая обеспечивает браузеру возможность производить некоторые операции с административными правами в системе. «В результате злоумышленники путем ряда манипуляций могут получить полный контроль над системой, в которой функционирует неисправленная версия браузера. Поэтому затягивать с обновлением ни в коем случае не стоит, благо вся процедура занимает считанные секунды», – заключила она.
Помимо критической, обновление Chrome устраняет шесть других высокоопасных уязвимостей. Но только CVE-2023-6345 является уязвимостью «нулевого дня», то есть, ее эксплуатация началась до того, как вендору стало известно о ней. Оценка по шкале угроз CVSS ей еще не выставлена, но высокоопасный статус означает, что выше 8,9 баллов ей не присвоят.
В апреле 2023 г., как отмечает издание The Hacker News, Google уже исправлял похожую уязвимость (CVE-2023-2136) в том же самом компоненте. Единственное отличие, для ее эксплуатации нужен был не специальный файл, а HTML-страница.
Всего с начала года Google был вынужден устранить семь уязвимостей нулевого дня в своем браузере.
Источник: https://safe.cnews.ru/news/top/2023-12-04_uyazvimost_nulevogo_dnya