Ďalšia Zero-Day zraniteľnosť prehliadača Google Chrome
Spoločnosť Google vydala bezpečnostnú aktualizáciu pre ďalšiu zero-day zraniteľnosť v prehliadačoch Chrome, Firefox, Brave a Edge. Kritická zraniteľnosť CVE-2023-4863 sa nachádza v komponente WebP a môže viesť k pádu aplikácie.
Zraniteľné systémy:
- Google Chrome
- Microsoft Edge
- Mozilla Firefox
- Opera
- Vivaldi
- Brave
- Thunderbird
- Honeyview
- Signal Electron
- Affinity
- Gimp
- Inkscape
- LibreOffice
- Telegram
- Ffmpeg
- 1Password
Opis činnosti:
CVE-2023-4863 (CVSS skóre 8,8)
Spoločnosť Google opravila ďalšiu aktívne zneužívanú bezpečnostnú chybu v prehliadačoch Chrome, Firefox, Brave a Edge. Kritická zraniteľnosť CVE-2023-4863 sa týka pretečenia medzipamäte na halde, v komponente WebP pre formát obrázkov, ktorý nahradil formáty súborov JPEG, PNG a GIF. Úspešné zneužitie môže zapríčiniť nekonečné slučky a pád aplikácie. Útočník má možnosť vykonávania ľubovoľného kódu.
Závažnosť zraniteľnosti: Vysoká
Možné škody:
- Vykonávanie ľubovoľného kódu
- Nedostupnosť aplikácie
Odporúčania:
Bezodkladná aktualizácia:
- Google Chrome na verziu 116.0.5845.187 pre Mac a Linux, a 116.0.5845.187/.188 pre Windows,
- Mozilla Firefox na verziu 117.0.1, ESR 102.15.1, ESR 115.2.1,
- Thunderbird na verziu 102.15.1, 115.2.2,
- Microsoft Edge na verziu 116.0.1938.81,
- Brave na verziu 1.58.124,
- Opera na verziu 102.0.4880.51,
- Vivaldi na verziu 6.2 a
- Honeyview na verziu 5.51.
Odkazy:
https://www.helpnetsecurity.com/2023/09/12/cve-2023-4863/
https://thehackernews.com/2023/09/google-rushes-to-patch-critical-chrome.html