Čo potrebuješ vedieť
- Výskumníci z Google Threat Analysis Group objavili v novembri v prehliadači Google Chrome zraniteľnosť zero-day. 24.
- Spoločnosť Google dnes vydala aktualizáciu pre prehliadač Chrome v systémoch Mac, Linux a Windows, aby opravila túto chybu zabezpečenia.
- Google tvrdí, že si je vedomý toho, že táto chyba zabezpečenia bola aktívne zneužitá.
V utorok Google spustil zavádzanie bezpečnostnej opravy prehliadača Chrome, aby tento rok odstránil šiestu nulovú zraniteľnosť prehliadača. Problém má podľa Národnej databázy zraniteľností, ktorá chybu sleduje ako CVE-2023-6345.
Hoci by si používatelia mali aktualizáciu nainštalovať čo najskôr, niektorí si možno budú musieť počkať. Google uviedol v aktualizácii poznámky k vydaniu že oprava by mohla prísť v najbližších dňoch alebo týždňoch. Android Central však dokázal nainštalovať aktualizáciu na macOS okamžite.
Oprava sa odosiela na adresu Google Chrome prehliadačov v systémoch Windows, Linux a macOS. Používatelia prehliadača Chrome v systémoch MacOS a Linux dostanú verziu
119.0.6045.199, zatiaľ čo používatelia v systéme Windows dostanú obe verzie 119.0.6045.199 alebo 119.0.6045.200.V poznámkach k vydaniu opravy Google uviedol, že „vie, že existuje zneužitie pre CVE-2023-6345 divočina." To znamená, že by ste mali okamžite aktualizovať svoj prehliadač, aby ste predišli akýmkoľvek chybám alebo kybernetickej bezpečnosti vyhrážky. Problémy vyplývajúce z tejto bezpečnostnej chyby môžu byť také kritické ako spustenie ľubovoľného kódu alebo také jednoduché ako pády aplikácie.
Aj keď zatiaľ nemáme veľa podrobností o zraniteľnosti, vieme, že súvisí s grafickou knižnicou Skia spoločnosti Google. Skia je open-source a používa sa v prehliadači Chrome okrem iných aplikácií a softvéru Google, napr ChromeOS. Chyba pretečenia celého čísla v službe Skia v prehliadači Chrome by mohla umožniť vzdialeným hackerom vykonať únik z karantény so škodlivým súborom, čo umožní spustenie ľubovoľného kódu.
Google, rovnako ako všetky technologické spoločnosti, nezverejní viac informácií o bezpečnostnej chybe, kým ju neopraví väčšina používateľov prehliadača Chrome. Podrobnosti môžu trvať dlhšie, ak sa zraniteľnosť týka programov tretích strán. Podrobné vysvetlenie chyby by totiž mohlo uľahčiť útočníkom so zlým úmyslom jej zneužitie proti používateľom prehliadača Chrome, ktorí ešte neaktualizovali.
Výskumníci z Google Threat Analysis Group našli CVE-2023-6345 v novembri. 24. Náplasť bola vydávaná od utorka (nov. 28), aj keď nie je jasné, ako dlho sa chyba mohla využívať predtým, ako bola vyriešená.
Ľudia, ktorí majú povolené automatické aktualizácie prehliadača Google Chrome, nemusia vykonať žiadne ďalšie kroky. Ak chcete skontrolovať, či stále nie je potrebné manuálne použiť aktualizáciu, otvorte nastavenia prehliadača Google Chrome, kliknite na kartu O prehliadači Chrome a kliknite na položku Aktualizovať prehliadač Google Chrome. Ak nevidíte možnosť aktualizácie, používate najnovšiu verziu.