Οι χάκερς εντοπίστηκαν να κάνουν κατάχρηση ενός ακόμη σοβαρού ελαττώματος στον Chrome, λίγες ημέρες αφότου η Google επιδιόρθωσε μια ξεχωριστή ευπάθεια “μηδενικής ημέρας” στο πρόγραμμα περιήγησης που βρισκόταν υπό ενεργή εκμετάλλευση.
Την Τρίτη, η Google εξέδωσε ένα δελτίο ασφαλείας στο οποίο αναφερόταν η πρόσφατα ανακαλυφθείσα ευπάθεια του Chrome, CVE-2023-2136, στην οποία έχει δοθεί αξιολόγηση “υψηλής σοβαρότητας”.
“Η Google γνωρίζει ότι υπάρχει ένα exploit για την CVE-2023-2136”, προειδοποίησε η εταιρεία.
Δεν υπάρχουν πολλές λεπτομέρειες σχετικά με την ευπάθεια. Προς το παρόν, η Google την περιγράφει ως μια “υπερχείλιση ακεραίου” που αφορά τη μηχανή γραφικών ανοικτού κώδικα Skia, η οποία χρησιμοποιείται από το Chrome.
Η επίσημη έκθεση CVE προσθέτει ότι η εκμετάλλευση του ελαττώματος “επέτρεπε σε έναν απομακρυσμένο εισβολέα που είχε παραβιάσει τη διαδικασία renderer να εκτελέσει δυνητικά μια διαφυγή από το sandbox μέσω μιας διαμορφωμένης σελίδας HTML”. Αυτό θα μπορούσε να ανοίξει το δρόμο στον χάκερ να αποκτήσει πρόσβαση σε πρόσθετες υπολογιστικές διεργασίες για να εκτελέσει μη αξιόπιστο κακόβουλο κώδικα σε έναν υπολογιστή, εξαπλώνοντας ενδεχομένως μια μόλυνση.
Παρά την έλλειψη λεπτομερειών, είναι πιθανό το ελάττωμα να αξιοποιήθηκε σε συνδυασμό με μια άλλη ευπάθεια μηδενικής ημέρας που επιδιόρθωσε η Google την περασμένη Παρασκευή, με την ονομασία CVE-2023-2033, η οποία αφορούσε ένα σφάλμα στη μηχανή V8 JavaScript για το πρόγραμμα περιήγησης.
Η εταιρεία αποκάλυψε και τα δύο ελαττώματα μέσω του Clément Lecigne, ενός ερευνητή ασφαλείας της ομάδας Threat Analysis Group της Google, η οποία είναι αφιερωμένη στην παρακολούθηση των πιο τρομακτικών ομάδων χάκερς και στην αποκάλυψη ευπαθειών μηδενικής ημέρας. Είναι ενδιαφέρον ότι ο Lecigne αποκάλυψε την ευπάθεια CVE-2023-2033 στις 11 Απριλίου και στη συνέχεια την CVE-2023-2136 στις 12 Απριλίου.
Και οι δύο ευπάθειες μπορούν επίσης να εκμεταλλευθούν μέσω ειδικά δημιουργημένων σελίδων HTML. Άσχετο ή όχι, αυτό υποδηλώνει ότι οι δύο ευπάθειες χρησιμοποιήθηκαν σε επιθέσεις που περιλάμβαναν την παράδοση κακόβουλων σελίδων HTML στα θύματα, ενδεχομένως μέσω μηνυμάτων phishing.
Ευτυχώς, η Google κινήθηκε γρήγορα για την επιδιόρθωση και των δύο ελαττωμάτων μετά την ανακάλυψή τους. Η εταιρεία έχει ήδη ετοιμάσει ένα patch για την CVE-2023-2136, το οποίο θα πρέπει να κυκλοφορήσει στους χρήστες τώρα. Η επιδιόρθωση θα φτάσει ως η έκδοση 112.0.5615.137 του Chrome.
Ένα κουμπί για την ενημέρωση του Chrome θα πρέπει να εμφανιστεί στην επάνω δεξιά γωνία του προγράμματος περιήγησης. Διαφορετικά, μεταβείτε στην καρτέλα “Σχετικά με το Chrome” για να λάβετε αυτόματα την ενημέρωση ή επισκεφθείτε τη σελίδα υποστήριξης της Google για τον τρόπο λήψης των επιδιορθώσεων.
Πηγή: PC Magazine