Экстренное обновление Google Chrome исправляет шестую уязвимость нулевого дня в 2023 году

Google выпустил обновления безопасности для Chrome, чтобы исправить семь уязвимостей, включая уязвимость нулевого дня, которая активно использовалась злоумышленниками.

Уязвимость, обозначенная как CVE-2023-6345, представляет собой серьёзный баг целочисленного переполнения в Skia, открытой библиотеке 2D графики. Её обнаружили Бенуа Севенс и Клеман Лесинь из Группы анализа угроз Google (TAG) 24 ноября 2023 года.

Google подтвердил, что существует эксплоит для CVE-2023-6345, но не раскрывает подробности об атаках или угрозах, связанных с её использованием.

Отмечается, что в апреле 2023 года Google уже выпускал патч для аналогичной уязвимости целочисленного переполнения в Skia (CVE-2023-2136), которая также активно эксплуатировалась. Существует вероятность, что CVE-2023-6345 может обходить этот патч.

CVE-2023-2136 позволяла удаленному атакующему, скомпрометировавшему процесс рендеринга, потенциально осуществить побег из песочницы через специально созданную HTML-страницу.

Компания с начала года исправила семь уязвимостей нулевого дня в Chrome, включая:

• CVE-2023-2033 (оценка CVSS: 8.8) - путаница типов в V8,
  
• CVE-2023-2136 (оценка CVSS: 9.6) - целочисленное переполнение в Skia,
  
• CVE-2023-3079 (оценка CVSS: 8.8) - путаница типов в V8,
  
• CVE-2023-4762 (оценка CVSS: 8.8) - путаница типов в V8,
  
• CVE-2023-4863 (оценка CVSS: 8.8) - переполнение буфера в WebP,
  
• CVE-2023-5217 (оценка CVSS: 8.8) - переполнение буфера в кодировке vp8 в libvpx.
  

Пользователям рекомендуется обновиться до версии Chrome 119.0.6045.199/.200 для Windows и 119.0.6045.199 для macOS и Linux, чтобы предотвратить потенциальные угрозы. Также советуют обновиться пользователям браузеров на базе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi, как только станут доступны соответствующие обновления.