Google slipper nødoppdatering for Chrome-nettleseren.

Google har nettopp gitt ut en uplanlagt oppdatering for å løse et nulldagssårbarhet som antas å ha blitt aktivt utnyttet av hackere i Google Chrome-nettleseren. Dette er den første alvorlige feilen i 2023 på verdens største nettleser etter markedsandel.

Sårbarheten, kalt CVE-2023-2033, ble rapportert av Clement Lecigne fra Googles trusselanalyseteam (TAG) 11. april 2023. Google TAG er et team av eksperter som har i oppgave å oppdage og rapportere nulldagssårbarheter som utnyttes i svært målrettede angrep fra myndighetsstøttede trusselaktører.

Sårbarheten er av høy alvorlighetsgrad, beskrevet som et typeforvirringsproblem i JavaScript-motoren V8. Typeforvirringen i V8, som ble funnet i Google Chrome-nettlesere før versjon 112.0.5615.121, lar en ekstern angriper potensielt utnytte et heap-sårbarhet gjennom en generert HTML-side.

Selv om denne sårbarheten vanligvis lar angripere forårsake nettleserkrasj når den utnyttes ved å lese eller skrive data utenfor buffergrensene, kan hackere også kjøre kode på kompromitterte enheter. Den høye alvorlighetsgraden av denne sårbarheten førte til at Google uttalte at tilgangen til feildetaljene vil være begrenset inntil flertallet av brukerne mottar oppdateringen.

Det er også mulig at Google vil fortsette å begrense tilgangen til dette sikkerhetsproblemet fordi det også finnes i tredjepartsbiblioteker eller -prosjekter som er avhengige av JavaScript V8 og ikke har blitt oppdatert.

Brukere av Chromium-baserte nettlesere som Microsoft Edge, Brave, Opera og Vivaldi bør også installere rettelsene så snart de lanseres. For å se etter den nyeste versjonen av Google Chrome, gå til Chrome > Hjelp > Om Google Chrome fra nettleseren din.