Zero-day zraniteľnosť prehliadača Google Chrome
Spoločnosť Google vydala bezpečnostnú aktualizáciu pre svoj prehliadač Chrome, ktorá rieši prvú tohtoročnú hlásenú zero-day zraniteľnosť CVE-2023-2033. Útočníkom môže umožniť vzdialene vykonávať kód.
Zraniteľné systémy:
Google Chrome, verzie staršie ako 112.0.5615.121 pre Windows, Linux a macOS
Opis činnosti:
CVE-2023-2033 (CVSS v3 8,8)
Spoločnosť Google opravila aktívne zneužívanú zraniteľnosť vo svojom prehliadači Chrome. Vysoko závažná zraniteľnosť sa nachádza v komponente V8 a jedná sa o chybu zámeny typu premennej. Útočník pravdepodobne môže pomocou škodlivej HTML stránky zneužiť poškodenie na halde. Podrobnosti o chybe spoločnosť nebude publikovať do času, kým väčšina užívateľov nebude používať aktualizovanú verziu prehliadača. Podobné bezpečnostné chyby však umožňujú čítať a zapisovať v pamäti mimo povolené hodnoty, čo môže viesť k možnosti vykonávať kód alebo spôsobiť pád aplikácie.
Závažnú zero-day zraniteľnosť objavil člen tímu Google Threat Analysis Group, Clement Lecigne. Aktualizácia bude dostupná pre prehliadač Google Chrome fungujúci v operačných systémoch Windows, Mac OS x a Linux.
Závažnosť zraniteľnosti: Vysoká
Možné škody:
- Vzdialené vykonávanie kódu
- Nedostupnosť služby (DoS)
Odporúčania:
Bezodkladná aktualizácia Google Chrome aspoň na verziu 112.0.5615.121. Dostupnú aktualizáciu môže používateľ skontrolovať a spustiť v ponuke prehliadača Chrome > Pomocník > O prehliadači Google Chrome. Alebo si prehliadač skontroluje nové aktualizácie a nainštaluje ich automaticky po jeho reštarte.
Odporúčame aktualizovať aj prehliadače postavené na platforme Chromium – Microsoft Edge, Brave, Opera a Vivaldi
Odkazy:
https://thehackernews.com/2023/04/google-releases-urgent-chrome-update-to.html
https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_14.html