В выпущенном сегодня экстренном обновлении безопасности Google исправила пятую уязвимость нулевого дня в Chrome, эксплуатируемую в атаках с начала года.
"Google известно, что эксплойт для CVE-2023-5217 существует в природе", - говорится в опубликованном в среду сообщении компании.
Уязвимость устранена в обновлении Google Chrome 117.0.5938.132, которое распространяется по всему миру для пользователей Windows, Mac и Linux в канале Stable Desktop.
Несмотря на то, что, по словам авторов рекомендации, до появления исправленной версии у всех пользователей пройдет несколько дней или недель, обновление было доступно сразу же после проверки Герман Геншин.
Кроме того, веб-браузер будет автоматически проверять наличие новых обновлений и автоматически устанавливать их после очередного запуска.
Эксплуатируется в шпионских атаках
Уязвимость нулевого дня высокой степени серьезности (CVE-2023-5217) связана с переполнением буфера кучи в кодировании VP8 в библиотеке видеокодеков libvpx с открытым исходным кодом, влияние которой варьируется от падения приложений до выполнения произвольного кода.
Об ошибке сообщил исследователь безопасности Google Threat Analysis Group (TAG) Клеман Лецинь (Clément Lecigne) в понедельник, 25 сентября.
Исследователи Google TAG известны тем, что часто находят и сообщают об уязвимостях "нулевого дня", используемых в целенаправленных шпионских атаках спонсируемых правительством субъектов угроз и хакерских групп, нацеленных на особо опасных лиц, таких как журналисты и оппозиционные политики.
Сегодня Мэдди Стоун (Maddie Stone) из Google TAG сообщила, что уязвимость нулевого дня CVE-2023-5217 была использована для установки шпионского ПО.
В пятницу Google TAG совместно с исследователями Citizen Lab также раскрыл информацию о том, что три "нулевых дня", исправленные компанией Apple в прошлый четверг, были использованы для установки шпионского ПО Predator компании Cytrox в период с мая по сентябрь 2023 года.
Несмотря на то, что сегодня Google заявила, что "нулевой день" CVE-2023-5217 использовался в атаках, компания пока не предоставила более подробной информации об этих инцидентах.
"Доступ к информации об ошибке и ссылкам может быть ограничен до тех пор, пока большинство пользователей не получат исправление", - говорится в сообщении Google. "Мы также сохраним ограничения, если ошибка существует в сторонней библиотеке, от которой аналогичным образом зависят другие проекты, но еще не исправлены".
В результате у пользователей Google Chrome будет достаточно времени для обновления браузера в качестве упреждающей меры против возможных атак.
Такой проактивный подход поможет снизить риск создания угрозами собственных эксплойтов и их применения в реальных сценариях, особенно по мере появления более подробной технической информации.
Две недели назад компания Google устранила еще одну уязвимость "нулевого дня" (отслеживается как CVE-2023-4863), эксплуатируемую в "дикой природе", уже четвертую с начала года.
Отметив его сначала как дефект Chrome, компания затем присвоила ему еще один CVE (CVE-2023-5129) и максимальный рейтинг серьезности 10/10, обозначив его как критическую уязвимость в libwebp (библиотеке, используемой во многих проектах, включая Signal, 1Password, Mozilla Firefox, Microsoft Edge, Apple Safari и собственный браузер Android).
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!