Как исправление 0-day уязвимостей стало для Chrome новой доброй традицией.
Google выпустила экстренное обновление безопасности для браузера Chrome. Его цель — устранение уязвимости «нулевого дня» с идентификатором CVE-2023-4863, которая стала четвертой за текущий год и продолжает активно эксплуатироваться злоумышленниками.
Дефект связан с переполнением буфера при работе с изображениями WebP. Он может привести к нестабильной работе браузера или, что еще неприятнее, к выполнению произвольного кода. Подобные типы уязвимостей считаются особенно опасными, поскольку часто служат точкой входа для множества видов атак, включая внедрение вредоносного ПО.
WebP — это современный формат изображений, разработанный самой Google. Он предназначен для сжатия графических данных без значительной потери качества. В отличие от традиционных форматов, таких как JPEG или PNG, WebP предлагает более высокое качество при меньшем размере файла, оптимизирует загрузку веб-страниц и экономит интернет-трафик.
Google распространяет патчи через стабильные и расширенные стабильные каналы. Пользователи Chrome на операционных системах Windows, Mac и Linux должны обновить браузер до версии 116.0.5845.187 (Mac и Linux) и 116.0.5845.187/.188 (Windows), чтобы устранить угрозу.
Текущую версию Chrome можно проверить, открыв меню «Помощь» > «О программе Google Chrome». Если обновление доступно, оно будет установлено автоматически.
На проблему обратили внимание специалисты по безопасности из Apple Security Engineering and Architecture (SEAR) и исследовательской лаборатории Citizen Lab при Университете Торонто. Citizen Lab раньше выявляли уязвимости, используемые для шпионских атак на оппозиционных политиков, журналистов и активистов.
Пока что Google не разглашает дополнительные детали об инцидентах, в которых был задействован этот дефект, ссылаясь на то, что сейчас важно предотвратить создание новых эксплойтов. «Компания может ограничить доступ к деталям уязвимости и ссылкам», — говорится в заявлении.
Ладно, не доказали. Но мы работаем над этим