Moderne teknologi giver os mange ting.

Nødopdatering til Google Chrome løser 6. nul-dag udnyttet i 2023


Η Google διόρθωσε την έκτη ευπάθεια του Chrome φέτος σε μια επείγουσα ενημέρωση ασφαλείας που κυκλοφόρησε σήμερα για την αντιμετώπιση της συνεχιζόμενης εκμετάλλευσης σε επιθέσεις.

Virksomheden anerkendte eksistensen af ​​en udnyttelse af sikkerhedsfejlen (sporet som CVE-2023-6345) i en ny sikkerhedsrådgivning offentliggjort i dag.

"Google er klar over, at en udnyttelse af CVE-2023-6345 findes i naturen," sagde virksomheden han sagde.

Sårbarheden er nu rettet i Stable Desktop-kanalen, hvor opdateringer udrulles globalt til Windows-brugere (119.0.6045.199/.200) og Mac-brugere, og (119.0.6045.199).

Selvom vejledningen siger, at sikkerhedsopdateringen kan tage dage eller uger at nå hele brugerbasen, var den tilgængelig med det samme, da BleepingComputer søgte efter opdateringer tidligere i dag.

Webbrowseren vil automatisk søge efter nye opdateringer og installere dem efter næste lancering for brugere, der ikke ønsker at gøre det manuelt.

Chrome 119.0.6045.199

Mulig udnyttelse i spyware-angreb

Denne meget alvorlige nul-dages sårbarhed stammer fra en heltalsoverløbssårbarhed i Skygge open source 2D-grafikbibliotek, som rummer risici lige fra fejl til vilkårlig kodekørsel (Skia bruges også som grafikmotor af andre produkter som ChromeOS, Android og Flutter).

Fejlen blev rapporteret fredag ​​den 24. november af Benoît Sevens og Clément Lecigne, to sikkerhedsforskere ved teamet ς απειλών (TAG) της Google.

Google TAG er kendt for sit af nul dage, ofte udnyttet af statslige hackergrupper i spyware-kampagner rettet mod højtprofilerede personer som journalister og oppositionspolitikere.

Virksomheden siger, at adgangen til nul-dages detaljer kan forblive begrænset, indtil de fleste brugere har opdateret deres browsere, med begrænsningen forlænget, hvis fejlen også påvirker tredjepartssoftware, der endnu ikke er blevet rettet.

"Adgang til fejldetaljer og links kan forblive begrænset, indtil størstedelen af ​​brugerne er opdateret med en rettelse. Vi vil også opretholde restriktioner, hvis fejlen eksisterer i et tredjepartsbibliotek, som andre projekter på samme måde er afhængige af, men endnu ikke har rettet,” sagde virksomheden.

Dette har til formål at reducere sandsynligheden for, at trusselsaktører vil udvikle deres egne CVE-2023-6345-udnyttelser ved at drage fordel af ny teknisk information, der er frigivet om sårbarheden.

I september rettede Google to andre nul-dage (sporet som CVE-2023-5217 og CVE-2023-4863), der blev udnyttet i angreb, den fjerde og femte siden begyndelsen af ​​2023.

Opdatering: Revideret historie og titel for korrekt at markere nul-dag som den sjette rettet i år.



VIA: bleepingcomputer.com

Følg TechWar.gr på Google News

svar