Hvad du behøver at vide
- Forskere fra Googles Threat Analysis Group opdagede en nul-dages sårbarhed i Google Chrome den nov. 24.
- Google udsendte i dag en opdatering til Chrome på Mac, Linux og Windows for at rette op på sikkerhedssårbarheden.
- Google siger, at de er klar over, at sårbarheden blev aktivt udnyttet.
Tirsdag startede Google udrulningen af en Chrome-sikkerhedspatch for at rette sin sjette nul-dages sårbarhed i browseren i år. Problemet har en Chromium-sikkerhedsgrad på "høj", ifølge National Vulnerability Database, som sporer fejlen som CVE-2023-6345.
Selvom brugere bør installere opdateringen så hurtigt som muligt, kan nogle blive nødt til at vente. Google sagde i opdateringen udgivelses noter at rettelsen kunne komme inden for de kommende dage eller uger. Android Central var dog i stand til at installere opdateringen på macOS med det samme.
Rettelsen sendes ud til Google Chrome browsere på Windows, Linux og macOS. Chrome-brugere på macOS og Linux får version 119.0.6045.199, mens brugere på Windows får begge versioner 119.0.6045.199 eller 119.0.6045.200.
I udgivelsesbemærkningerne til patchen sagde Google, at det "er klar over, at en udnyttelse af CVE-2023-6345 eksisterer i det vilde." Det betyder, at du skal opdatere din browser med det samme for at forhindre fejl eller cybersikkerhed trusler. Problemer som følge af denne sikkerhedsfejl kan være lige så kritiske som udførelse af vilkårlig kode eller så simple som appnedbrud.
Selvom vi ikke har mange detaljer om sårbarheden endnu, ved vi, at den er relateret til Googles Skia-grafikbibliotek. Skia er open source og bruges i Chrome, blandt andre Google-apps og -software, som f.eks ChromeOS. En heltalsoverløbsfejl i Skia i Chrome kunne tillade fjernhackere at lave en sandbox-escape med en ondsindet fil, hvilket gør udførelse af vilkårlig kode mulig.
Google vil, som alle teknologivirksomheder, ikke frigive flere oplysninger om sikkerhedsfejlen, før den er rettet af flertallet af Chrome-brugere. Det kan tage længere tid om detaljerne kommer ud, hvis sårbarheden påvirker tredjepartsprogrammer. Dette skyldes, at en detaljeret forklaring af fejlen kan gøre det nemmere for ondsindede angribere at udnytte det mod Chrome-brugere, der ikke har opdateret endnu.
Forskere fra Googles Threat Analysis Group fandt CVE-2023-6345 den nov. 24. Plastret blev udgivet fra tirsdag (nov. 28), selvom det er uklart, hvor længe fejlen kan have været udnyttet, før den blev rettet.
Personer, der har aktiveret automatiske opdateringer til Google Chrome, behøver muligvis ikke at foretage sig yderligere. For at kontrollere, om du stadig skal anvende opdateringen manuelt, skal du åbne dine Google Chrome-indstillinger, klikke på fanen Om Chrome og klikke på Opdater Google Chrome. Hvis du ikke kan se muligheden for at opdatere, er du på den nyeste version.