Τι πρέπει να ξέρετε
- Ερευνητές από την ομάδα ανάλυσης απειλών της Google ανακάλυψαν μια ευπάθεια zero-day στο Google Chrome τον Νοέμβριο. 24.
- Η Google εξέδωσε σήμερα μια ενημέρωση για το Chrome σε Mac, Linux και Windows για να επιδιορθώσει την ευπάθεια ασφαλείας.
- Η Google λέει ότι γνωρίζει ότι η ευπάθεια έγινε ενεργή εκμετάλλευση.
Την Τρίτη, η Google ξεκίνησε την κυκλοφορία μιας ενημέρωσης κώδικα ασφαλείας του Chrome για να διορθώσει την έκτη ευπάθεια zero-day στο πρόγραμμα περιήγησης φέτος. Το ζήτημα έχει σοβαρότητα ασφαλείας Chromium "υψηλή", σύμφωνα με την Εθνική Βάση Δεδομένων Ευπάθειας, η οποία παρακολουθεί το σφάλμα ως CVE-2023-6345.
Αν και οι χρήστες θα πρέπει να εγκαταστήσουν την ενημέρωση το συντομότερο δυνατό, ορισμένοι ίσως χρειαστεί να περιμένουν. είπε η Google στην ενημέρωση σημειώσεις έκδοσης ότι η επιδιόρθωση θα μπορούσε να φτάσει τις επόμενες ημέρες ή εβδομάδες. Ωστόσο, το Android Central μπόρεσε να εγκαταστήσει την ενημέρωση στο macOS αμέσως.
Η επιδιόρθωση αποστέλλεται στο
Google Chrome προγράμματα περιήγησης σε Windows, Linux και macOS. Οι χρήστες του Chrome σε macOS και Linux θα λάβουν έκδοση 119.0.6045.199, ενώ οι χρήστες στα Windows θα λάβουν οποιαδήποτε έκδοση 119.0.6045.199 ή 119.0.6045.200.Στις σημειώσεις έκδοσης για την ενημερωμένη έκδοση κώδικα, η Google είπε ότι "γνωρίζει ότι υπάρχει εκμετάλλευση για το CVE-2023-6345 στο Αυτό σημαίνει ότι θα πρέπει να ενημερώσετε αμέσως το πρόγραμμα περιήγησής σας για να αποτρέψετε τυχόν σφάλματα ή την ασφάλεια στον κυβερνοχώρο απειλές. Τα ζητήματα που προκύπτουν από αυτό το ελάττωμα ασφαλείας μπορεί να είναι τόσο κρίσιμα όσο η αυθαίρετη εκτέλεση κώδικα ή τόσο απλά όσο σφάλματα εφαρμογής.
Αν και δεν έχουμε ακόμη πολλές λεπτομέρειες σχετικά με την ευπάθεια, γνωρίζουμε ότι σχετίζεται με τη βιβλιοθήκη γραφικών Skia της Google. Το Skia είναι ανοιχτού κώδικα και χρησιμοποιείται στο Chrome, μεταξύ άλλων εφαρμογών και λογισμικού Google, όπως π.χ ChromeOS. Ένα σφάλμα υπερχείλισης ακέραιου αριθμού στο Skia στο Chrome θα μπορούσε να επιτρέψει σε απομακρυσμένους χάκερ να κάνουν μια διαφυγή sandbox με ένα κακόβουλο αρχείο, καθιστώντας δυνατή την εκτέλεση αυθαίρετου κώδικα.
Η Google, όπως όλες οι εταιρείες τεχνολογίας, δεν θα δημοσιεύσει περισσότερες πληροφορίες σχετικά με το ελάττωμα ασφαλείας έως ότου επιδιορθωθεί από την πλειονότητα των χρηστών του Chrome. Οι λεπτομέρειες ενδέχεται να χρειαστούν περισσότερο χρόνο για να εμφανιστούν εάν η ευπάθεια επηρεάζει προγράμματα τρίτων. Αυτό οφείλεται στο γεγονός ότι μια λεπτομερής εξήγηση του ελαττώματος θα μπορούσε να διευκολύνει τους κακόβουλους εισβολείς να το εκμεταλλευτούν εναντίον χρηστών του Chrome που δεν έχουν ενημερώσει ακόμη.
Ερευνητές από την Ομάδα Ανάλυσης Απειλών της Google βρήκαν το CVE-2023-6345 τον Νοέμβριο. 24. Το patch εκδόθηκε από την Τρίτη (Νοεμ. 28), αν και δεν είναι σαφές πόσο καιρό μπορεί να έχει γίνει εκμετάλλευση του ελαττώματος πριν αντιμετωπιστεί.
Τα άτομα που έχουν ενεργοποιημένες τις αυτόματες ενημερώσεις για το Google Chrome ενδέχεται να μην χρειάζεται να προβούν σε καμία πρόσθετη ενέργεια. Για να ελέγξετε εάν εξακολουθείτε να χρειάζεται να εφαρμόσετε μη αυτόματα την ενημέρωση, ανοίξτε τις ρυθμίσεις του Google Chrome, κάντε κλικ στην καρτέλα Σχετικά με το Chrome και κάντε κλικ στην Ενημέρωση Google Chrome. Εάν δεν βλέπετε την επιλογή ενημέρωσης, χρησιμοποιείτε την πιο πρόσφατη έκδοση.