Ďalšia zero-day zraniteľnosť prehliadača Google Chrome

Spoločnosť Google vyzýva používateľov prehliadača Google Chrome k inštalácii bezpečnostnej aktualizácie, ktorá opravuje druhú tohtoročnú hlásenú zero-day zraniteľnosť CVE-2023-2136. Útočníkom môže umožniť vzdialene vykonávať kód.

Zraniteľné systémy:

Google Chrome, verzie staršie ako 112.0.5615.137 pre Windows, Linux a macOS

Opis činnosti:

CVE-2023-2136

Spoločnosť Google opravila ďalšiu aktívne zneužívanú zraniteľnosť vo svojom prehliadači Chrome. Vysoko závažná zraniteľnosť sa nachádza v grafickej knižnici Skia a súvisí s pretečením celočíselnej premennej. Vzdialený útočník ju dokáže zneužiť pomocou špeciálne vytvorenej HTML stránky. Následne po kompromitácii vykresľovacieho procesu môže získať schopnosť uniknúť zo sandboxu. Podrobnosti o chybe spoločnosť opäť nebude publikovať do času, kým väčšina užívateľov nebude používať aktualizovanú verziu prehliadača.

Aj druhú tohtoročnú zero-day zraniteľnosť objavil člen tímu Google Threat Analysis Group, Clement Lecigne. Aktualizácia je dostupná pre prehliadač Google Chrome fungujúci v operačných systémoch Windows, Mac OS x a Linux.

Závažnosť zraniteľnosti: Vysoká

Možné škody:

  • Vzdialené vykonávanie kódu
  • Nedostupnosť služby (DoS)
  • Únik zo sandboxu prehliadača

Odporúčania:

Bezodkladná aktualizácia Google Chrome aspoň na verziu 112.0.5615.137/138 pre operačné systémy Windows, 112.0.5615.137 pre operačné systémy macOS a 112.0.5615.165 pre operačné systémy na báze Linux. Dostupnú aktualizáciu je možné skontrolovať a spustiť v ponuke prehliadača Chrome > Pomocník > O prehliadači Google Chrome. Alebo si prehliadač skontroluje nové aktualizácie a nainštaluje ich automaticky po jeho reštarte.

Pre ďalšie prehliadače postavené na platforme Chromium – Microsoft Edge, Brave, Opera a Vivaldi, nateraz ešte neexistuje aktualizácia mitigujúca danú hrozbu, a preto je dôležité sledovať stránky ich vývojárov.

Odkazy:

https://thehackernews.com/2023/04/google-chrome-hit-by-second-zero-day.html

https://www.bleepingcomputer.com/news/security/google-patches-another-actively-exploited-chrome-zero-day/

https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_18.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-2136