Какво трябва да знаете
- Изследователи от групата за анализ на заплахи на Google откриха уязвимост от нулев ден в Google Chrome на ноември. 24.
- Днес Google издаде актуализация за Chrome на Mac, Linux и Windows, за да коригира уязвимостта в сигурността.
- Google казва, че е наясно, че уязвимостта е била активно използвана.
Във вторник Google започна пускането на корекция за сигурност на Chrome, за да коригира шестата си уязвимост от нулев ден в браузъра тази година. Проблемът има степен на защита на Chromium „висока“ според Националната база данни за уязвимости, която проследява грешката като CVE-2023-6345.
Въпреки че потребителите трябва да инсталират актуализацията възможно най-скоро, някои може да трябва да изчакат. Google каза в актуализацията бележки към изданието че поправката може да пристигне през следващите дни или седмици. Android Central обаче успя да инсталира актуализацията на macOS незабавно.
Корекцията се изпраща до Google Chrome браузъри на Windows, Linux и macOS. Потребителите на Chrome на macOS и Linux ще получат версия
119.0.6045.199, докато потребителите на Windows ще получат и двете версии 119.0.6045.199 или 119.0.6045.200.В бележките по изданието за корекцията Google каза, че „е наясно, че съществува експлойт за CVE-2023-6345 в дивата природа." Това означава, че трябва незабавно да актуализирате браузъра си, за да предотвратите грешки или киберсигурност заплахи. Проблемите, произтичащи от този пропуск в сигурността, могат да бъдат толкова критични, колкото изпълнението на произволен код, или толкова прости, колкото сривовете на приложението.
Въпреки че все още нямаме много подробности за уязвимостта, знаем, че е свързана с графичната библиотека Skia на Google. Skia е с отворен код и се използва в Chrome, наред с други приложения и софтуер на Google, като ChromeOS. Грешка при препълване на цяло число в Skia в Chrome може да позволи на отдалечени хакери да извършат бягство от пясъчника със злонамерен файл, което прави възможно изпълнението на произволен код.
Google, подобно на всички технологични компании, няма да публикува повече информация за пропуска в сигурността, докато не бъде коригиран от повечето потребители на Chrome. Разкриването на подробности може да отнеме повече време, ако уязвимостта засяга програми на трети страни. Това е така, защото подробното обяснение на пропуска може да улесни злонамерените нападатели да го използват срещу потребители на Chrome, които все още не са актуализирали.
Изследователи от Групата за анализ на заплахите на Google откриха CVE-2023-6345 на ноем. 24. Пачът беше издаден от вторник (ноември. 28), въпреки че не е ясно колко дълго пропускът може да е бил използван, преди да бъде решен.
Хората, които имат активирани автоматични актуализации за Google Chrome, може да не трябва да предприемат допълнителни действия. За да проверите дали все още трябва ръчно да приложите актуализацията, отворете настройките на Google Chrome, щракнете върху раздела Всичко за Chrome и щракнете върху Актуализиране на Google Chrome. Ако не виждате опцията за актуализиране, вие сте на най-новата версия.