Komoly biztonsági rést találtak a Chrome-ban

A MacRumors szerint a Google kiadott egy kritikus biztonsági frissítést a macOS, Windows és Linux rendszerekhez készült Chrome böngészőhöz, hogy kijavítson egy olyan nulladik napi sebezhetőséget, amelyet aktívan kihasználnak. A Chrome frissítésében a Google azt nyilatkozta, hogy „tudomásuk van arról, hogy a CVE-2023-6345 sebezhetőség elterjedt”.

A Google Threat Analysis Group (TAG) biztonsági kutatói által a múlt héten felfedezett új sebezhetőség vélhetően a Chrome grafikus motorjában található nyílt forráskódú 2D grafikus könyvtárhoz, a Skia-hoz kapcsolódik. A Google egyelőre nem közölt további részleteket arról, hogyan használják ki a CVE-2023-6345 sebezhetőséget, mivel nem akarja értesíteni a rosszindulatú szereplőket.

A macOS 119.0.6045.199-es frissítése szerint a sérülékeny kód kihasználása lehetővé teszi egy vagy több támadó számára, hogy „potenciálisan egy sandbox escape-et hajtsanak végre egy rosszindulatú fájlon keresztül”, ami elméletileg tetszőleges kód futtatásához és adatok ellopásához vezethet.

Alapértelmezés szerint a Chrome automatikusan frissíti magát, amikor új verzió válik elérhetővé. A felhasználóknak azonban azonnal manuálisan is frissíteniük kell a rendszert, hogy elkerüljék a nulladik napi támadások kockázatát. A Chrome beállításaiban kattintson a Chrome névjegye fülre, majd a Google Chrome frissítése lehetőségre. Ha nincs frissítési lehetőség, akkor már frissített a legújabb verzióra.

Idén a Google hat nulladik napi sebezhetőséget javított ki, köztük kettőt, amelyeket szeptemberben is kihasználtak és kezeltek: a CVE-2023-5217-et és a CVE-2023-4863-at.