Высокоопасная уязвимость в Chrome требует срочного обновления

В Chrome выявлена седьмая по счету уязвимость нулевого дня с начала года. Она почти дублирует другую, устраненную в апреле и тоже подвергавшуюся уже активной эксплуатации.

Google выкатил внеплановое исправление для браузера Chrome в связи с обнаружением в нем высокоопасной (в некоторых источниках — критической) уязвимости, которая уже подвергается активной эксплуатации.

«Баг» под индексом CVE-2023-6345 относится к классу «целочисленного переполнения», и непосредственно затрагивает опенсорсную библиотеку ускорения 2D-графики Skia, которую браузер использует для отрисовки веб-страниц.

Эта уязвимость означает, что злоумышленник с помощью специально подготовленного файла может обойти защитные механизмы Chrome — т.е. выйти за пределы «песочницы».

Уязвимыми являются все версии Chrome, кроме самой последней — 119.0.6045.199, вне зависимости от операционной системы (Windows, Mac или Linux). Уже сейчас, если зайти в настройках Chrome в раздел «О браузере Chrome», автоматически начинается скачивание и установка защищенной версии.

«Выход за пределы «песочницы» — защищенной среды в Chrome означает, что потенциальный злоумышленник может запустить в контекст браузера произвольный вредоносный код», — указывает директор по информационной безопасности компании SEQ Анастасия Мельникова. По ее мнению, в Chrome встроена служба повышения привилегий, которая обеспечивает браузеру возможность производить некоторые операции с административными правами в системе. «В результате злоумышленники путем ряда манипуляций могут получить полный контроль над системой, в которой функционирует неисправленная версия браузера. Поэтому затягивать с обновлением ни в коем случае не стоит, благо вся процедура занимает считанные секунды», — заключила она.

Ссылка https://safe.cnews.ru/news/top/2023-12-04_uyazvimost_nulevogo_dnya
Изображение от Freepik