Компания Google выпустила срочное обновление для своего браузера Chrome, устраняющее критическую уязвимость нулевого дня CVE-2023-6345, что стало шестым исправлением подобной уязвимости в 2023 году.
Компания Google выпустила экстренное обновление для браузера Chrome. Обновление устраняет критическую уязвимость нулевого дня, обозначенную как CVE-2023-6345, связанную с целочисленным переполнением в Skia, ключевом компоненте графического движка Chrome. Это уже шестая уязвимость "нулевого дня", которую Google исправляет в 2023 году, что отражает тенденцию роста числа сложных киберугроз.
Уязвимость CVE-2023-6345 находится в Skia, библиотеке 2D-графики с открытым исходным кодом, используемой в Chrome, ChromeOS, Android и Flutter. Целочисленное переполнение в этом компоненте может привести к различным рискам, включая сбои и выполнение произвольного кода. Этот тип уязвимости особенно опасен, поскольку его можно использовать для получения несанкционированного доступа к системе, что может привести к утечке данных или другим кибератакам.
Об уязвимости сообщили 24 ноября Benoît Sevens и Clément Lecigne, члены группы анализа угроз (TAG) Google. Google TAG специализируется на выявлении "нулевых дней", часто используемых в шпионских кампаниях спонсируемых государством хакерских групп. Их отчет вызвал немедленную реакцию со стороны Google, что привело к выпуску экстренного обновления.
Обновление и защита
Обновления, выпущенные по всему миру, имеют версии 119.0.6045.199/.200 для пользователей Windows и 119.0.6045.199 для пользователей Mac и Linux. Хотя обновление может занять некоторое время, чтобы добраться до всех пользователей, для некоторых оно было доступно сразу. Google подчеркивает важность своевременного обновления браузера для защиты от потенциальных эксплойтов.
Помимо CVE-2023-6345, обновление Google также исправляет пять других уязвимостей различной степени серьезности. Среди них — путаница типов в Spellcheck, использование после free в Mojo и WebAudio, а также доступ к памяти за пределами границ в libavif.
Уязвимость и ее последствия выходят за рамки Google Chrome, так как она затрагивает и другие браузеры на базе движка Chromium, такие, как Microsoft Edge, Brave, Opera и Vivaldi. Пользователям этих браузеров рекомендуется следить за обновлениями и устанавливать их по мере появления.
Предыдущий Уязвимости нулевого дня
Результаты работы Google в 2023 году свидетельствуют об активной позиции компании в устранении уязвимостей нулевого дня. Ранее в этом году Google устранила две другие "нулевые" уязвимости, обозначенные как CVE-2023-5217 и CVE-2023-4863, которые также использовались в атаках.
Пользователям рекомендуется проверить версию своего браузера Chrome и при необходимости обновить его. Процесс обновления, как правило, можно запустить через меню настроек браузера. После обновления необходимо перезапустить браузер, чтобы убедиться, что новые меры безопасности активны.