В последнем обновлении браузера Chrome, разработанного Google, была обнаружена и устранена критическая уязвимость нулевого дня, обозначенная как CVE-2023-4863. Эта уязвимость была выявлена экспертами Apple и исследователями из Citizen Lab, и она является уже четвертой критической уязвимостью в Chrome с начала текущего года.
CVE-2023-4863 – это уязвимость класса переполнения буфера кучи (Heap buffer overflow), которая затрагивает компонент WebP. Куча (Heap) - это структура данных, используемая для динамического выделения памяти в приложениях. Размер кучи определяется операционной системой, и в случае переполнения буфера кучи, программа записывает больше данных, чем буфер может содержать. Это может привести к перезаписи смежных областей памяти и, в некоторых случаях, даже к выполнению произвольного кода на удаленной системе.
Уязвимость CVE-2023-4863 связана с недостаточной проверкой размера данных, предоставляемых пользователем, перед их копированием в буфер, выделенный из кучи. Такие ошибки могут использоваться злоумышленниками для проведения атак на удаленные системы.
Особенно беспокойным делает эту уязвимость то, что хакеры уже активно ей пользуются, до того как было выпущено исправление. Учитывая критичность уязвимости и активное использование ею злоумышленниками, Google решил не раскрывать подробности уязвимости, чтобы предотвратить дополнительные атаки.
Эта уязвимость является лишь одной из серии критических уязвимостей, обнаруженных в браузере Chrome в этом году. Google регулярно выпускает обновления, чтобы исправлять обнаруженные уязвимости, и пользователи браузера рекомендуются обновлять его до последней версии, чтобы обеспечить безопасность при онлайн-серфинге.
