Google slipper nødoppdatering for Chrome-nettleseren

Google har nettopp gitt ut en uplanlagt oppdatering for å løse et nulldagssårbarhet som antas å bli aktivt utnyttet av hackere i Google Chrome-nettleseren. Dette er den første alvorlige feilen i 2023 i verdens største nettleser.

Sårbarheten, identifisert som CVE-2023-2033, ble rapportert av Clement Lecigne fra Googles Threat Analysis Group (TAG) 11. april 2023. Google TAG er et team av eksperter som har i oppgave å oppdage og rapportere nulldagssårbarheter som utnyttes i svært målrettede angrep fra statsstøttede trusselaktører.

Sårbarheten, beskrevet som et alvorlighetsproblem i V8 JavaScript-motoren, er et problem med typeforvirring i V8 i Google Chrome-nettleseren før versjon 112.0.5615.121 som lar en ekstern angriper potensielt utnytte heap-korrupsjon via en laget HTML-side.

Selv om feilen vanligvis lar angripere forårsake nettleserkrasj ved å lese eller skrive bufferdata utenfor grensene, kan den også la hackere kjøre kode på kompromitterte enheter. Den høye alvorlighetsgraden av sårbarheten har ført til at Google sier at tilgangen til detaljer om feilen vil være begrenset inntil de fleste brukere er oppdatert.

Det er også mulig at Google vil fortsette å begrense tilgangen til denne sikkerhetsfeilen, ettersom den også finnes i tredjepartsbiblioteker eller -prosjekter som er avhengige av JavaScript V8 og ikke har blitt oppdatert.

Brukere av Chromium-baserte nettlesere som Microsoft Edge, Brave, Opera og Vivaldi bør også installere rettelsene så snart de lanseres. For å sjekke den nye versjonen av Google Chrome, gå til Chrome > Hjelp > Om Google Chrome fra nettleseren din.