Vad du behöver veta
- Forskare från Googles Threat Analysis Group upptäckte en nolldagarssårbarhet i Google Chrome i november. 24.
- Google utfärdade en uppdatering idag för Chrome på Mac, Linux och Windows för att korrigera säkerhetssårbarheten.
- Google säger att de är medvetna om att sårbarheten aktivt utnyttjades.
På tisdagen startade Google lanseringen av en Chrome-säkerhetspatch för att åtgärda sin sjätte nolldagarssårbarhet i webbläsaren i år. Problemet har en Chromium-säkerhetsgrad på "hög", enligt National Vulnerability Database, som spårar felet som CVE-2023-6345.
Även om användare bör installera uppdateringen så snart som möjligt, kan vissa behöva vänta. Google sa i uppdateringen release notes att korrigeringen kan komma inom de kommande dagarna eller veckorna. Android Central kunde dock installera uppdateringen på macOS omedelbart.
Fixningen skickas ut till Google Chrome webbläsare på Windows, Linux och macOS. Chrome-användare på macOS och Linux kommer att få version 119.0.6045.199, medan användare på Windows får endera versionen 119.0.6045.199 eller 119.0.6045.200.
I releasenotes för patchen sa Google att det "är medvetet om att en exploatering för CVE-2023-6345 finns i the wild." Det betyder att du bör uppdatera din webbläsare omedelbart för att förhindra buggar eller cybersäkerhet hot. Problem som härrör från detta säkerhetsbrist kan vara lika kritiska som exekvering av godtycklig kod eller så enkla som appkraschar.
Även om vi inte har många detaljer om sårbarheten ännu, vet vi att den är relaterad till Googles Skia-grafikbibliotek. Skia är öppen källkod och används i Chrome, bland annat Google-appar och mjukvara, som ChromeOS. Ett heltalsöversvämningsfel inom Skia i Chrome kan tillåta fjärrhacker att göra en sandlådeescape med en skadlig fil, vilket gör exekvering av godtycklig kod möjlig.
Google, som alla teknikföretag, kommer inte att släppa mer information om säkerhetsbristen förrän den har korrigerats av majoriteten av Chrome-användare. Det kan ta längre tid innan detaljerna kommer ut om sårbarheten påverkar program från tredje part. Detta beror på att en detaljerad förklaring av felet kan göra det lättare för illvilliga angripare att utnyttja det mot Chrome-användare som inte har uppdaterat ännu.
Forskare från Googles Threat Analysis Group hittade CVE-2023-6345 den nov. 24. Plåstret utfärdades från och med tisdagen (nov. 28), även om det är oklart hur länge felet kan ha utnyttjats innan det åtgärdades.
Personer som har automatiska uppdateringar för Google Chrome aktiverade kanske inte behöver vidta några ytterligare åtgärder. För att kontrollera om du fortfarande behöver installera uppdateringen manuellt, öppna dina Google Chrome-inställningar, klicka på fliken Om Chrome och klicka på Uppdatera Google Chrome. Om du inte ser alternativet att uppdatera har du den senaste versionen.