מה שאתה צריך לדעת
- חוקרים מקבוצת ניתוח האיומים של גוגל גילו פגיעות של יום אפס ב-Google Chrome בנובמבר. 24.
- גוגל פרסמה היום עדכון עבור Chrome ב-Mac, Linux ו-Windows כדי לתקן את פגיעות האבטחה.
- גוגל אומרת שהיא מודעת לכך שהפגיעות נוצלה באופן פעיל.
ביום שלישי, גוגל החלה בהשקת תיקון אבטחה של Chrome כדי לתקן את הפגיעות השישית של יום האפס בדפדפן השנה. לבעיה יש חומרת אבטחת Chromium של "גבוהה", על פי מסד הנתונים הלאומי לפגיעות, שעוקב אחר הבאג כמו CVE-2023-6345.
למרות שמשתמשים צריכים להתקין את העדכון בהקדם האפשרי, חלקם עשויים להמתין. גוגל אמרה בעדכון מכתבי שחרור שהתיקון יכול להגיע בימים או בשבועות הקרובים. עם זאת, Android Central הצליח להתקין את העדכון ב-macOS באופן מיידי.
התיקון נשלח אל גוגל כרום דפדפנים ב-Windows, Linux ו-macOS. משתמשי Chrome ב-macOS ו-Linux יקבלו גרסה 119.0.6045.199, בעוד שמשתמשים ב-Windows יקבלו כל אחת מהגרסאות 119.0.6045.199 אוֹ 119.0.6045.200.
בהערות השחרור של התיקון, גוגל אמרה שהיא "מודעת לכך שקיים ניצול עבור CVE-2023-6345 ב בטבע." זה אומר שעליך לעדכן את הדפדפן שלך באופן מיידי כדי למנוע באגים או אבטחת סייבר איומים. בעיות הנובעות מפגם האבטחה הזה יכולות להיות קריטיות כמו ביצוע קוד שרירותי או פשוטות כמו קריסות אפליקציה.
למרות שעדיין אין לנו פרטים רבים על הפגיעות, אנו יודעים שהיא קשורה לספריית הגרפיקה Skia של גוגל. Skia הוא קוד פתוח ומשמש ב-Chrome, בין אפליקציות ותוכנות אחרות של Google, כמו ChromeOS. שגיאת הצפת מספרים שלמים בתוך Skia ב-Chrome עלולה לאפשר להאקרים מרוחקים לבצע בריחת ארגז חול עם קובץ זדוני, מה שמאפשר ביצוע של קוד שרירותי.
גוגל, כמו כל חברות הטכנולוגיה, לא תשחרר מידע נוסף על ליקוי האבטחה עד שיתוקן על ידי רוב משתמשי Chrome. ייתכן שיידרש זמן רב יותר לפרטים אם הפגיעות משפיעה על תוכניות צד שלישי. הסיבה לכך היא שהסבר מפורט על הפגם יכול להקל על תוקפים זדוניים לנצל אותו נגד משתמשי Chrome שעדיין לא עדכנו.
חוקרים מקבוצת ניתוח האיומים של גוגל מצאו את CVE-2023-6345 בנובמבר. 24. התיקון הונפק החל מיום שלישי (נובמבר. 28), אם כי לא ברור כמה זמן הפגם נוצל לפני שהוא טופל.
ייתכן שאנשים שהפעלתם עדכונים אוטומטיים עבור Google Chrome לא יצטרכו לבצע שום פעולה נוספת. כדי לבדוק אם אתה עדיין צריך להחיל את העדכון באופן ידני, פתח את הגדרות Google Chrome שלך, לחץ על הכרטיסייה אודות Chrome ולחץ על עדכן את Google Chrome. אם אינך רואה את האפשרות לעדכן, אתה משתמש בגרסה העדכנית ביותר.