Η Google διόρθωσε την έκτη zero-day ευπάθεια του Chrome για φέτος με μια επείγουσα ενημέρωση ασφαλείας που κυκλοφόρησε μόλις. Αυτή η ενημέρωση έχει ως στόχο να αντιμετωπίσει τη συνεχιζόμενη εκμετάλλευση της ευπάθειας σε επιθέσεις. Η εταιρεία αναγνώρισε την ύπαρξη ενός exploit για το κενό ασφαλείας CVE-2023-6345.
Η ευπάθεια έχει αντιμετωπιστεί στο κανάλι Stable της desktop έκδοσης, με τις διορθωμένες εκδόσεις να κυκλοφορούν παγκοσμίως στους χρήστες των Windows (119.0.6045.199/200) και στους χρήστες Mac και Linux (119.0.6045.199). Αν και η εταιρεία σημειώνει ότι η ενημέρωση ασφαλείας μπορεί να χρειαστεί ημέρες ή εβδομάδες για να φτάσει σε ολόκληρη τη βάση χρηστών.
Αυτή η σοβαρή zero-day ευπάθεια του Google Chrome προέρχεται από μια αδυναμία υπερχείλισης ακέραιου αριθμού στη βιβλιοθήκη γραφικών 2D ανοικτού κώδικα Skia, η οποία ενέχει κινδύνους που κυμαίνονται από κρασαρίσματα έως την εκτέλεση αυθαίρετου κώδικα. Η Skia χρησιμοποιείται επίσης ως μηχανή γραφικών από άλλα προϊόντα, όπως το ChromeOS, το Android και το Flutter.
Το σφάλμα αναφέρθηκε την Παρασκευή, 24 Νοεμβρίου, από τους Benoît Sevens και Clément Lecigne, δύο ερευνητές ασφαλείας της Ομάδας Ανάλυσης Απειλών (TAG) της Google. Η TAG της Google είναι γνωστή για την αποκάλυψη zero-day, που συχνά αξιοποιούνται από κρατικά υποστηριζόμενες ομάδες hacking σε εκστρατείες κατασκοπευτικού λογισμικού που στοχεύουν άτομα υψηλού προφίλ, όπως δημοσιογράφους και πολιτικούς της αντιπολίτευσης.
Η εταιρεία έχει δηλώσει ότι η πρόσβαση στα στοιχεία της zero-day του Google Chrome θα παραμείνει περιορισμένη μέχρι οι περισσότεροι χρήστες να ενημερώσουν τα προγράμματα περιήγησής τους. Εάν το ελάττωμα επηρεάζει επίσης λογισμικό τρίτων που δεν έχει επιδιορθωθεί ακόμη, τότε ο περιορισμός της πρόσβασης στις λεπτομέρειες και τους συνδέσμους του σφάλματος θα επεκταθεί.
Αυτό αποσκοπεί στη μείωση της πιθανότητας να αναπτύξουν οι φορείς απειλών τα δικά τους exploits για το CVE-2023-6345, εκμεταλλευόμενοι τις πρόσφατα δημοσιευμένες τεχνικές πληροφορίες σχετικά με την ευπάθεια. Τον Σεπτέμβριο, η Google διόρθωσε δύο άλλες zero-day, τα CVE-2023-5217 και CVE-2023-4863, που αξιοποιήθηκαν σε επιθέσεις και είναι η τέταρτη και η πέμπτη από τις αρχές του 2023.
Πηγή: Ghacks.net