Google выпустил обновления безопасности для Chrome, чтобы исправить семь уязвимостей, включая уязвимость нулевого дня, которая активно использовалась злоумышленниками.
Уязвимость, обозначенная как CVE-2023-6345, представляет собой серьёзный баг целочисленного переполнения в Skia, открытой библиотеке 2D графики. Её обнаружили Бенуа Севенс и Клеман Лесинь из Группы анализа угроз Google (TAG) 24 ноября 2023 года.
Google подтвердил, что существует эксплоит для CVE-2023-6345, но не раскрывает подробности об атаках или угрозах, связанных с её использованием.
Отмечается, что в апреле 2023 года Google уже выпускал патч для аналогичной уязвимости целочисленного переполнения в Skia (CVE-2023-2136), которая также активно эксплуатировалась. Существует вероятность, что CVE-2023-6345 может обходить этот патч.
CVE-2023-2136 позволяла удаленному атакующему, скомпрометировавшему процесс рендеринга, потенциально осуществить побег из песочницы через специально созданную HTML-страницу.
Компания с начала года исправила семь уязвимостей нулевого дня в Chrome, включая:
- CVE-2023-2033 (оценка CVSS: 8.8) – путаница типов в V8,
- CVE-2023-2136 (оценка CVSS: 9.6) – целочисленное переполнение в Skia,
- CVE-2023-3079 (оценка CVSS: 8.8) – путаница типов в V8,
- CVE-2023-4762 (оценка CVSS: 8.8) – путаница типов в V8,
- CVE-2023-4863 (оценка CVSS: 8.8) – переполнение буфера в WebP,
- CVE-2023-5217 (оценка CVSS: 8.8) – переполнение буфера в кодировке vp8 в libvpx.
Пользователям рекомендуется обновиться до версии Chrome 119.0.6045.199/.200 для Windows и 119.0.6045.199 для macOS и Linux, чтобы предотвратить потенциальные угрозы. Также советуют обновиться пользователям браузеров на базе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi, как только станут доступны соответствующие обновления.