Google wydało w tym roku łatkę naprawiającą drugą lukę dnia zerowego wykrytą w przeglądarce Chrome (otwiera się w nowej karcie).
Podobnie jak poprzednie zagrożenie, które zostało załatane zaledwie kilka dni temu, to również jest wykorzystywane w środowisku naturalnym – potwierdziła firma w biuletynie dotyczącym bezpieczeństwa.
Luka jest identyfikowana jako CVE-2023-2136 i jest opisana jako błąd przepełnienia liczb całkowitych o wysokim poziomie istotności wykryty w Skia, wieloplatformowej bibliotece graficznej 2D firmy Google. Chrome używa Skia do renderowania grafiki, tekstu, obrazów, animacji i nie tylko. BleepingComputer opisuje to jako „kluczową część” potoku renderowania przeglądarki.
Umożliwić dostęp
Wykorzystując tę lukę, potencjalny aktor może spowodować nieprawidłowe renderowanie stron w przeglądarce, uszkodzenie pamięci i umożliwić wykonanie dowolnego kodu. To ostatnie jest najbardziej problematyczne, ponieważ może umożliwić nieautoryzowany dostęp do podatnego punktu końcowego.
Luka została odkryta przez Clémenta Lecigne'a z grupy analitycznej Google Threat Analysis Group (TAG). TAG zazwyczaj szuka luk w zabezpieczeniach i złośliwego oprogramowania wykorzystywanego przez podmioty sponsorowane przez państwo, więc nie byłoby niczym niezwykłym założenie, że osoby atakujące państwa narodowe wykorzystały tę lukę.
To powiedziawszy, Google wstrzymał dalsze szczegóły dotyczące luki i jej wykorzystania, dopóki większość wystąpień przeglądarki nie zostanie załatana.
„Dostęp do szczegółów błędów i linków może być ograniczony, dopóki większość użytkowników nie zaktualizuje poprawki” – podała firma. „Utrzymamy również ograniczenia, jeśli błąd występuje w bibliotece innej firmy, od której w podobny sposób zależą inne projekty, ale nie zostało to jeszcze naprawione”.
Aby zabezpieczyć swoją przeglądarkę przed tym exploitem, zaktualizuj ją do wersji 112.0.5615.137. Ta łatka naprawia łącznie osiem luk. W chwili obecnej luka jest naprawiana dla urządzeń z systemem Windows i Mac, podczas gdy osoby pracujące na Linuksie będą musiały poczekać nieco dłużej. Google twierdzi, że łatka dla tego systemu operacyjnego jest w trakcie prac i powinna zostać wydana „wkrótce”.
Chociaż Chrome zwykle instaluje te poprawki automatycznie podczas uruchamiania, użytkownicy mogą również włączyć je ręcznie, przechodząc do menu Chrome (trzy poziome kropki w prawym górnym rogu), dotykając Pomoc i przechodząc do Informacje o Google Chrome.
Przez: BleepingComputer (Otwiera się w nowej karcie)