Η Google διόρθωσε την έκτη zero-day ευπάθεια του Chrome για φέτος με μια επείγουσα ενημέρωση ασφαλείας που κυκλοφόρησε μόλις. Αυτή η ενημέρωση έχει ως στόχο να αντιμετωπίσει τη συνεχιζόμενη εκμετάλλευση της ευπάθειας σε επιθέσεις. Η εταιρεία αναγνώρισε την ύπαρξη ενός exploit για το κενό ασφαλείας CVE-2023-6345.

Η ευπάθεια έχει αντιμετωπιστεί στο κανάλι Stable της desktop έκδοσης, με τις διορθωμένες εκδόσεις να κυκλοφορούν παγκοσμίως στους χρήστες των Windows (119.0.6045.199/200) και στους χρήστες Mac και Linux (119.0.6045.199). Αν και η εταιρεία σημειώνει ότι η ενημέρωση ασφαλείας μπορεί να χρειαστεί ημέρες ή εβδομάδες για να φτάσει σε ολόκληρη τη βάση χρηστών.

Αυτή η σοβαρή zero-day ευπάθεια του Google Chrome προέρχεται από μια αδυναμία υπερχείλισης ακέραιου αριθμού στη βιβλιοθήκη γραφικών 2D ανοικτού κώδικα Skia, η οποία ενέχει κινδύνους που κυμαίνονται από κρασαρίσματα έως την εκτέλεση αυθαίρετου κώδικα. Η Skia χρησιμοποιείται επίσης ως μηχανή γραφικών από άλλα προϊόντα, όπως το ChromeOS, το Android και το Flutter.

Το σφάλμα αναφέρθηκε την Παρασκευή, 24 Νοεμβρίου, από τους Benoît Sevens και Clément Lecigne, δύο ερευνητές ασφαλείας της Ομάδας Ανάλυσης Απειλών (TAG) της Google. Η TAG της Google είναι γνωστή για την αποκάλυψη zero-day, που συχνά αξιοποιούνται από κρατικά υποστηριζόμενες ομάδες hacking σε εκστρατείες κατασκοπευτικού λογισμικού που στοχεύουν άτομα υψηλού προφίλ, όπως δημοσιογράφους και πολιτικούς της αντιπολίτευσης.

Η εταιρεία έχει δηλώσει ότι η πρόσβαση στα στοιχεία της zero-day του Google Chrome θα παραμείνει περιορισμένη μέχρι οι περισσότεροι χρήστες να ενημερώσουν τα προγράμματα περιήγησής τους. Εάν το ελάττωμα επηρεάζει επίσης λογισμικό τρίτων που δεν έχει επιδιορθωθεί ακόμη, τότε ο περιορισμός της πρόσβασης στις λεπτομέρειες και τους συνδέσμους του σφάλματος θα επεκταθεί.

Αυτό αποσκοπεί στη μείωση της πιθανότητας να αναπτύξουν οι φορείς απειλών τα δικά τους exploits για το CVE-2023-6345, εκμεταλλευόμενοι τις πρόσφατα δημοσιευμένες τεχνικές πληροφορίες σχετικά με την ευπάθεια. Τον Σεπτέμβριο, η Google διόρθωσε δύο άλλες zero-day, τα CVE-2023-5217 και CVE-2023-4863, που αξιοποιήθηκαν σε επιθέσεις και είναι η τέταρτη και η πέμπτη από τις αρχές του 2023.

Πηγή: Ghacks.net

Tags:

Αφήστε ένα Σχόλιο

Το e-mail σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *


Διαβάστε επίσης

Τι είναι το Browser fingerprinting και πώς θα το αποκλείσετε;

Το browser fingerprinting είναι μια μέθοδος με την οποία οι ιστότοποι που επισκέπτεστε μπορούν να σας αναγνωρίσουν. Χρησιμοποιείται κυρίως για στοχευμένη διαφήμιση, αν και μπορεί επίσης να χρησιμοποιηθεί για την προστασία ιστότοπων και λογαριασμών από μη εξουσιοδοτημένη πρόσβαση.

Περισσότερα

Instagram: Πώς να κρύψετε αναρτήσεις από συγκεκριμένα άτομα;

Σας ακολουθεί κάποιος στο Instagram αλλά δεν θέλετε να βλέπει τις αναρτήσεις σας; Μπορείτε να κρύψετε τις αναρτήσεις και τις ιστορίες σας! Δείτε πώς να το κάνετε στο iPhone και το Android.

Περισσότερα

Τι είναι η νέα λειτουργία Advanced Chat Privacy του WhatsApp

Με την ενεργοποίηση της λειτουργίας, οι συμμετέχοντες σε μια συνομιλία δεν θα μπορούν να κοινοποιούν το περιεχόμενο εκτός εφαρμογής, ενώ παράλληλα μπλοκάρεται κάθε δυνατότητα εξαγωγής συνομιλιών, καθώς και η αυτόματη λήψη πολυμέσων από το κινητό.

Περισσότερα