Форум VolSat - Показать сообщение отдельно

skaner2222 · 29.11.2023, 20:16

Экстренное обновление Google Chrome: исправлена шестая уязвимость «нулевого дня» в 2023 году

28 ноября компания Google исправила шестую уязвимость в браузере Chrome за этот год в экстренном обновлении безопасности
Экстренное обновление Google Chrome: исправлена шестая уязвимость «нулевого дня» в 2023 году

Уязвимость Google Chrome устранена на канале Stable Desktop. Патч доступен для пользователей по всему миру в версиях Chrome 119.0.6045.199/.200 для Windows и Chrome 119.0.6045.199 для Linux и Mac.

В бюллетени по безопасности, посвященном уязвимости CVE-2023-6345, компания сообщает:

Google известно о случаях эксплуатации CVE-2023-6345 в реальных атаках. Хотя в бюллетени указано, что развертывание обновления может занять несколько дней, для большинства пользователей оно стало доступно сразу.

Chrome автоматически проверит наличие новых обновлений и установит их после следующего запуска.

Уязвимость могла использоваться в шпионских программах
Данная уязвимость высокого риска связана с целочисленным переполнением в библиотеке 2D-графики с открытым исходным кодом Skia. Эксплуатация уязвимости создает различные риски, начиная от сбоев и заканчивая выполнением произвольного кода (Skia также используется в качестве графического движка в других продуктах, таких как ChromeOS, Android и Flutter).

Об ошибке стало известно в пятницу, 24 ноября. О ней сообщили Бенуа Севенс (Benoit Sevens) и Клеман Лесинь (Clement Lecigne), исследователи безопасности из группы анализа угроз Google (TAG).

TAG обнаруживает угрозы «нулевого дня», которые часто используются проправительственными хакерскими группировками в шпионских кампаниях, нацеленных на журналистов и оппозиционных политиков.

Подробная информация о уязвимости не будет раскрыта, пока большинство пользователей не обновят свои устройства. Если уязвимость затронет стороннее ПО, то секретность будет соблюдаться дольше.

В Google отметили:

Доступ к детальным сведениям об ошибке и ссылкам может быть ограничен до тех пор, пока большинство пользователей не получат обновление с исправлением. Мы также сохраним ограничения, если ошибка существует в сторонней библиотеке, от которой аналогичным образом зависят другие проекты, но еще не исправлены.

Политика утаивания информация снижает вероятность того, что злоумышленники разработают свои собственные эксплойты CVE-2023-6345, воспользовавшись технической информацией об уязвимости.

В сентябре Google обнаружила еще две уязвимости «нулевого дня» (CVE-2023-5217 и CVE-2023-4863), используемые в атаках. Это были четвертая и пятая по счету уязвимости «нулевого дня» в этом году.

29.11.2023, 20:16	#110
skaner2222 Модератор Регистрация: 09.02.2016 Ресивер: Sat-Integral S-1248 Heavy Metal Dolby AC3 Адрес: Украина Винницкая область. Сообщений: 2,802 Сказал(а) спасибо: 9,035 Поблагодарили 5,828 раз(а) в 2,276 сообщениях Вес репутации: 63	Экстренное обновление Google Chrome: исправлена шестая уязвимость «нулевого дня» в 2023 году 28 ноября компания Google исправила шестую уязвимость в браузере Chrome за этот год в экстренном обновлении безопасности Экстренное обновление Google Chrome: исправлена шестая уязвимость «нулевого дня» в 2023 году Уязвимость Google Chrome устранена на канале Stable Desktop. Патч доступен для пользователей по всему миру в версиях Chrome 119.0.6045.199/.200 для Windows и Chrome 119.0.6045.199 для Linux и Mac. В бюллетени по безопасности, посвященном уязвимости CVE-2023-6345, компания сообщает: Google известно о случаях эксплуатации CVE-2023-6345 в реальных атаках. Хотя в бюллетени указано, что развертывание обновления может занять несколько дней, для большинства пользователей оно стало доступно сразу. Chrome автоматически проверит наличие новых обновлений и установит их после следующего запуска. Уязвимость могла использоваться в шпионских программах Данная уязвимость высокого риска связана с целочисленным переполнением в библиотеке 2D-графики с открытым исходным кодом Skia. Эксплуатация уязвимости создает различные риски, начиная от сбоев и заканчивая выполнением произвольного кода (Skia также используется в качестве графического движка в других продуктах, таких как ChromeOS, Android и Flutter). Об ошибке стало известно в пятницу, 24 ноября. О ней сообщили Бенуа Севенс (Benoit Sevens) и Клеман Лесинь (Clement Lecigne), исследователи безопасности из группы анализа угроз Google (TAG). TAG обнаруживает угрозы «нулевого дня», которые часто используются проправительственными хакерскими группировками в шпионских кампаниях, нацеленных на журналистов и оппозиционных политиков. Подробная информация о уязвимости не будет раскрыта, пока большинство пользователей не обновят свои устройства. Если уязвимость затронет стороннее ПО, то секретность будет соблюдаться дольше. В Google отметили: Доступ к детальным сведениям об ошибке и ссылкам может быть ограничен до тех пор, пока большинство пользователей не получат обновление с исправлением. Мы также сохраним ограничения, если ошибка существует в сторонней библиотеке, от которой аналогичным образом зависят другие проекты, но еще не исправлены. Политика утаивания информация снижает вероятность того, что злоумышленники разработают свои собственные эксплойты CVE-2023-6345, воспользовавшись технической информацией об уязвимости. В сентябре Google обнаружила еще две уязвимости «нулевого дня» (CVE-2023-5217 и CVE-2023-4863), используемые в атаках. Это были четвертая и пятая по счету уязвимости «нулевого дня» в этом году.