Kaj morate vedeti
- Raziskovalci iz Googlove skupine za analizo groženj so novembra odkrili ranljivost ničelnega dne v brskalniku Google Chrome. 24.
- Google je danes izdal posodobitev za Chrome v sistemih Mac, Linux in Windows, da bi popravil varnostno ranljivost.
- Google pravi, da se zaveda, da je bila ranljivost aktivno izkoriščena.
Google je v torek začel uvajati varnostni popravek za Chrome, da bi odpravil svojo šesto ranljivost zero-day v brskalniku letos. Težava ima Chromiumovo varnostno resnost »visoko« glede na nacionalno zbirko podatkov o ranljivostih, ki hrošč spremlja kot CVE-2023-6345.
Čeprav bi morali uporabniki posodobitev namestiti čim prej, bodo nekateri morda morali počakati. Google je dejal v posodobitvi opombe ob izdaji da bi lahko popravek prišel v prihodnjih dneh ali tednih. Vendar pa je Android Central lahko takoj namestil posodobitev na macOS.
Popravek je poslan na naslov Google Chrome brskalniki v sistemih Windows, Linux in macOS. Uporabniki Chroma v sistemih macOS in Linux bodo prejeli različico
119.0.6045.199, uporabniki v sistemu Windows pa bodo prejeli katero koli različico 119.0.6045.199 oz 119.0.6045.200.V opombah ob izdaji za popravek je Google dejal, da "se zaveda, da izkoriščanje za CVE-2023-6345 obstaja v divjina." To pomeni, da morate nemudoma posodobiti svoj brskalnik, da preprečite morebitne napake ali kibernetsko varnost grožnje. Težave, ki izhajajo iz te varnostne napake, so lahko tako kritične kot izvajanje poljubne kode ali preproste kot zrušitve aplikacije.
Čeprav še nimamo veliko podrobnosti o ranljivosti, vemo, da je povezana z Googlovo grafično knjižnico Skia. Skia je odprtokodna in se uporablja v Chromu, med drugimi Googlovimi aplikacijami in programsko opremo, na primer Chrome OS. Napaka prekoračitve celega števila znotraj Skia v Chromu bi lahko oddaljenim hekerjem omogočila pobeg iz peskovnika z zlonamerno datoteko, kar bi omogočilo izvajanje poljubne kode.
Google, tako kot vsa tehnološka podjetja, ne bo objavil več informacij o varnostni napaki, dokler je ne popravi večina uporabnikov Chroma. Razkritje podrobnosti lahko traja dlje, če ranljivost vpliva na programe tretjih oseb. To je zato, ker bi podrobna razlaga napake lahko zlonamernim napadalcem olajšala izkoriščanje zoper uporabnike Chroma, ki še niso posodobili.
Raziskovalci iz Googlove skupine za analizo groženj so novembra našli CVE-2023-6345. 24. Popravek je bil izdan v torek (nov. 28), čeprav ni jasno, kako dolgo so napako morda izkoriščali, preden so jo odpravili.
Ljudem, ki imajo omogočene samodejne posodobitve za Google Chrome, morda ne bo treba izvesti nobenih dodatnih dejanj. Če želite preveriti, ali morate še vedno ročno uporabiti posodobitev, odprite nastavitve Google Chroma, kliknite zavihek O Chromu in kliknite Posodobi Google Chrome. Če ne vidite možnosti za posodobitev, imate najnovejšo različico.