В Chrome выявлена седьмая по счету уязвимость нулевого дня с начала года. Она почти дублирует другую, устраненную в апреле и тоже подвергавшуюся уже активной эксплуатации.
Google выкатил внеплановое исправление для браузера Chrome в связи с обнаружением в нем высокоопасной (в некоторых источниках – критической) уязвимости, которая уже подвергается активной эксплуатации.
«Баг» под индексом CVE-2023-6345 относится к классу «целочисленного переполнения», и непосредственно затрагивает опенсорсную библиотеку ускорения 2D-графики Skia, которую браузер использует для отрисовки веб-страниц.
Эта уязвимость означает, что злоумышленник с помощью специально подготовленного файла может обойти защитные механизмы Chrome – т.е. выйти за пределы «песочницы».
Уязвимыми являются все версии Chrome, кроме самой последней – 119.0.6045.199, вне зависимости от операционной системы (Windows, Mac или Linux). Уже сейчас, если зайти в настройках Chrome в раздел «О браузере Chrome», автоматически начинается скачивание и установка защищенной версии.
«Выход за пределы «песочницы» – защищенной среды в Chrome означает, что потенциальный злоумышленник может запустить в контекст браузера произвольный вредоносный код», – указывает директор по информационной безопасности компании SEQ Анастасия Мельникова. По ее мнению, в Chrome встроена служба повышения привилегий, которая обеспечивает браузеру возможность производить некоторые операции с административными правами в системе. «В результате злоумышленники путем ряда манипуляций могут получить полный контроль над системой, в которой функционирует неисправленная версия браузера. Поэтому затягивать с обновлением ни в коем случае не стоит, благо вся процедура занимает считанные секунды», – заключила она.
Ссылка https://safe.cnews.ru/news/top/2023-12-04_uyazvimost_nulevogo_dnya
Изображение от Freepik