Η Google διόρθωσε την έκτη zero-day ευπάθεια στον Chrome για φέτος, κυκλοφορώντας μια επείγουσα ενημέρωση ασφαλείας.
Η εταιρεία αναγνώρισε την ύπαρξη ενός exploit για την εν λόγω ευπάθεια (που παρακολουθείται ως CVE-2023-6345) και παρότρυνε τους χρήστες να ενημερώσουν άμεσα τα συστήματά τους.
“Η Google γνωρίζει ότι υπάρχει ένα exploit για το CVE-2023-6345“, δήλωσε η εταιρεία.
Η ευπάθεια αντιμετωπίζεται τώρα στο κανάλι Stable Desktop, με τις ενημερωμένες εκδόσεις να κυκλοφορούν παγκοσμίως σε χρήστες Windows (119.0.6045.199/.200) και χρήστες Mac και Linux (119.0.6045.199).
Δείτε επίσης: Νέο botnet malware εκμεταλλεύεται two-zero-days για να μολύνει NVR και Routers
Η εταιρεία λέει ότι η ενημέρωση ασφαλείας μπορεί να χρειαστεί κάποιες ημέρες για να φτάσει σε ολόκληρη τη βάση χρηστών.
Ο Chrome browser θα ελέγξει αυτόματα για νέες ενημερώσεις και θα τις εγκαταστήσει μετά την επόμενη εκκίνηση (σε περίπτωση που δεν θέλετε να κάνετε την ενημέρωση με μη αυτόματο τρόπο).
Πιθανή εκμετάλλευση της Chrome zero-day ευπάθειας σε επιθέσεις spyware
Αυτή η σοβαρή ευπάθεια προέρχεται από ένα integer overflow weakness στο Skia open-source 2D graphics library, και μπορεί να προκαλέσει διάφορα προβλήματα, από crashes μέχρι εκτέλεση κώδικα. Αξίζει να σημειωθεί ότι το Skia χρησιμοποιείται επίσης ως graphics engine από άλλα προϊόντα όπως το ChromeOS, Android και Flutter.
Το σφάλμα αναφέρθηκε την Παρασκευή, 24 Νοεμβρίου, από τους Benoît Sevens και Clément Lecigne, δύο ερευνητές ασφαλείας της Ομάδας Ανάλυσης απειλών (TAG) της Google.
Δείτε επίσης: Pwn2Own Toronto: Πάνω από 1 εκατομμύριο δολάρια για 58 zero-day
Η εταιρεία λέει ότι η πρόσβαση στις λεπτομέρειες του Chrome zero-day ενδέχεται να παραμείνει περιορισμένη, έως ότου οι περισσότεροι χρήστες ενημερώσουν το πρόγραμμα περιήγησής τους.
Με τη μη αποκάλυψη τεχνικών πληροφοριών για την ευπάθεια, μειώνεται η πιθανότητα ανάπτυξης νέων exploits από hackers.
Αν δεν γίνει αναβάθμιση του Google Chrome, οι χρήστες εκτίθενται σε σοβαρούς κινδύνους ασφαλείας. Οι επιθέσεις με τη χρήση zero-day αποτελούν σοβαρή απειλή για την ασφάλεια των δεδομένων και την ιδιωτικότητα των χρηστών. Μια ευπάθεια θεωρείται zero-day εάν αποκαλύπτεται δημόσια ή γίνεται ενεργή εκμετάλλευση χωρίς να έχει κυκλοφορήσει επίσημη ενημέρωση κώδικα. Σε αυτή την περίπτωση, η ευπάθεια άρχισε να χρησιμοποιείται από κυβερνοεγκληματίες προτού κυκλοφορήσει ενημέρωση. Επομένως, πρέπει να δράσετε άμεσα τώρα που κυκλοφόρησε το patch.
Οι επιτιθέμενοι μπορούν να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες, όπως κωδικούς πρόσβασης, πιστωτικές κάρτες και προσωπικά δεδομένα.
Δείτε επίσης: Οι hackers Winter Vivern χρησιμοποιούν Roundcube zero-day για να κλέψουν κυβερνητικά emails
Επιπλέον, η μη αναβάθμιση μπορεί να επηρεάσει την απόδοση και την εμπειρία περιήγησης.
Τον Σεπτέμβριο, η Google διόρθωσε δύο άλλες zero-day ευπάθειες (που παρακολουθούνται ως CVE-2023-5217 και CVE-2023-4863).
Πηγή: www.bleepingcomputer.com
