Η Google εξέδωσε γρήγορα επιδιορθώσεις ασφαλείας για την αντιμετώπιση μιας κρίσιμης ευπάθειας μηδενικής ημέρας στον Chrome, χαρακτηρίζοντάς την ως την τέταρτη τέτοια ευπάθεια που αντιμετωπίζεται φέτος. Η εταιρεία επιβεβαίωσε την ύπαρξη ενός ενεργού exploit για το CVE-2023-4863 σε μια πρόσφατη ειδοποίηση ασφαλείας.
Η ενημερωμένη έκδοση είναι πλέον διαθέσιμη για τα κανάλια Stable και Extended stable και αναμένεται να είναι προσβάσιμη σε όλους τους χρήστες τις επόμενες ημέρες ή εβδομάδες.
Οι χρήστες του Chrome καλούνται να ενημερώσουν άμεσα τα προγράμματα περιήγησής τους στις εκδόσεις 116.0.5845.187 (για Mac και Linux) και 116.0.5845.187/.188 (για Windows). Αυτό θα διορθώσει την ευπάθεια CVE-2023-4863 σε όλες τις πλατφόρμες Windows, Mac και Linux.
Κατά τον έλεγχο, το BleepingComputer επαλήθευσε ότι η νέα ενημέρωση είναι προσβάσιμη μέσω του μενού του Chrome στην ενότητα Βοήθεια > Σχετικά με το Google Chrome. Επιπλέον, το Chrome θα επιθεωρήσει αυτόματα για, και θα εγκαταστήσει τις ενημερώσεις, απαιτώντας μια επανεκκίνηση για την ολοκλήρωσή τους χωρίς περαιτέρω συμμετοχή του χρήστη.
Το σοβαρό ελάττωμα μηδενικής ημέρας, που αναφέρεται ως CVE-2023-4863, προέρχεται από ένα πρόβλημα υπερχείλισης buffer heap του WebP, το οποίο μπορεί να οδηγήσει σε κατάρρευση του συστήματος ή μη εξουσιοδοτημένη εκτέλεση κώδικα.
Αυτή η ευπάθεια ήρθε στο φως μετά τον εντοπισμό της από τις κοινές προσπάθειες της ομάδας Security Engineering and Architecture (SEAR) της Apple και του The Citizen Lab από το Munk School του Πανεπιστημίου του Τορόντο στις 6 Σεπτεμβρίου. Ιστορικά, το Citizen Lab έχει αποκαλύψει πολυάριθμες ευπάθειες μηδενικής ημέρας που χρησιμοποιούνται καταχρηστικά σε εξειδικευμένες εκστρατείες κατασκοπευτικού λογισμικού, συχνά ενορχηστρωμένες από κρατικά υποστηριζόμενες οντότητες που στοχεύουν παγκοσμίως σημαντικές προσωπικότητες όπως αντιφρονούντες, δημοσιογράφους και πολιτικούς αντιπάλους.
Ξεχωριστά, η Apple διόρθωσε πρόσφατα δύο zero-day, τα οποία η Citizen Lab εντόπισε ως συστατικά μιας ακολουθίας exploit με τίτλο BLASTPASS, που χρησιμοποιήθηκε για να θέσει σε κίνδυνο ενημερωμένα iPhone με το spyware Pegasus της NSO Group.
Αν και η Google αναγνώρισε την εκμετάλλευση του CVE-2023-4863 σε σενάρια πραγματικού κόσμου, οι λεπτομερείς πληροφορίες σχετικά με αυτές τις επιθέσεις παραμένουν αδιευκρίνιστες. Η Google έχει δηλώσει ότι ενδέχεται να καθυστερήσει να αποκαλύψει συγκεκριμένες λεπτομέρειες του σφάλματος για να διασφαλίσει την ασφάλεια ενός μεγάλου τμήματος της βάσης χρηστών της. Αυτή η προσέγγιση αποσκοπεί στο να αποτρέψει τους πιθανούς επιτιθέμενους από το να αξιοποιήσουν αυτές τις πληροφορίες για να σχεδιάσουν νέα exploits και να τα προωθήσουν ευρέως.
Διαβάστε επίσης – Γυναίκες επιχειρηματίες στην Αρχαία Ελλάδα: Όσα πιθανώς δεν γνωρίζατε
