Ώρα να κάνετε κλικ στο κουμπί “ενημέρωση” στο πρόγραμμα περιήγησης Chrome: Οι χάκερς ήδη εκμεταλλεύονται μια σοβαρή ευπάθεια “zero-day” στο λογισμικό για να επιτίθενται στους χρήστες.
Η Google έχει αρχίσει να κυκλοφορεί μια επιδιόρθωση για την άγνωστη μέχρι πρότινος ευπάθεια, η οποία ονομάστηκε CVE-2023-2033. Την Παρασκευή, η εταιρεία δημοσίευσε μια ειδοποίηση ασφαλείας, προειδοποιώντας ότι “η Google γνωρίζει ότι υπάρχει ένα exploit για την CVE-2023-2033.”
Δεν υπάρχουν πολλές λεπτομέρειες σχετικά με την ευπάθεια. Προς το παρόν, η Google την περιγράφει ως ένα ελάττωμα που σχετίζεται με τη “σύγχυση τύπων” στη μηχανή V8 JavaScript για το πρόγραμμα περιήγησης.
Ένα σφάλμα σύγχυσης τύπου συνήθως περιλαμβάνει την αποτυχία του λογισμικού να επαληθεύσει έναν πόρο, ανοίγοντας έναν τρόπο πρόσβασης σε άλλες διεργασίες του προγράμματος. Αυτό μπορεί να περιλαμβάνει ανάγνωση ή εγγραφή μνήμης εκτός των κανονικών ορίων στον κώδικα του προγράμματος. Ως εκ τούτου, η ευπάθεια αυτή μπορεί να είναι ιδιαίτερα ισχυρή, ιδίως εφόσον αφορά τη JavaScript, η οποία είναι διαδεδομένη στις ιστοσελίδες. Στο παρελθόν, οι χάκερς έχουν εκμεταλλευτεί σφάλματα σύγχυσης τύπου για να τους βοηθήσουν να διοχετεύσουν κακόβουλο κώδικα σε υπολογιστές, μερικές φορές μέσω μιας ιστοσελίδας ή ενός συνδέσμου.
Η Google ανακάλυψε το σφάλμα μέσω του Clément Lecigne, ενός ερευνητή ασφαλείας της ομάδας Threat Analysis Group της εταιρείας, η οποία επικεντρώνεται στον εντοπισμό επίλεκτων χάκερ και στην αποκάλυψη ευπαθειών μηδενικής ημέρας. Έτσι, είναι πιθανό να εντοπίστηκε μια κρατικά υποστηριζόμενη ομάδα χάκερ ή ένα εμπορικό πρόγραμμα spyware να εκμεταλλεύεται το ελάττωμα για να επιτεθεί σε έναν στόχο υψηλής αξίας.
Η επιδιόρθωση φτάνει στην έκδοση 112.0.5615.121 του Chrome. Ένα κουμπί για την ενημέρωση του Chrome θα πρέπει να εμφανιστεί στην επάνω δεξιά γωνία του προγράμματος περιήγησης. Διαφορετικά, μεταβείτε στην καρτέλα “Σχετικά με το Chrome” για να λάβετε αυτόματα την ενημέρωση ή επισκεφθείτε τη σελίδα υποστήριξης της Google για τον τρόπο λήψης των επιδιορθώσεων. Το CVE-2023-2033 φαίνεται να είναι η πρώτη ευπάθεια μηδενικής ημέρας που εντοπίζεται στο Chrome φέτος.
Πηγή: PC Magazine