Пользователям браузера Google Chrome рекомендуется как можно скорее установить и активировать последнее обновление.
Google выпустил обновления безопасности для Chrome , чтобы исправить семь уязвимостей, включая уязвимость нулевого дня, которая активно использовалась злоумышленниками.
Уязвимость, обозначенная как CVE-2023-6345, представляет собой серьёзный баг целочисленного переполнения в Skia, открытой библиотеке 2D графики. Её обнаружили Бенуа Севенс и Клеман Лесинь из Группы анализа угроз Google (TAG) 24 ноября 2023 года.
Google подтвердил, что существует эксплоит для CVE-2023-6345, но не раскрывает подробности об атаках или угрозах, связанных с её использованием.
Отмечается, что в апреле 2023 года Google уже выпускал патч для аналогичной уязвимости целочисленного переполнения в Skia (CVE-2023-2136), которая также активно эксплуатировалась. Существует вероятность, что CVE-2023-6345 может обходить этот патч.
CVE-2023-2136 позволяла удаленному атакующему, скомпрометировавшему процесс рендеринга, потенциально осуществить побег из песочницы через специально созданную HTML-страницу.
Компания с начала года исправила семь уязвимостей нулевого дня в Chrome, включая:
Google выпустил обновления безопасности для Chrome , чтобы исправить семь уязвимостей, включая уязвимость нулевого дня, которая активно использовалась злоумышленниками.
Уязвимость, обозначенная как CVE-2023-6345, представляет собой серьёзный баг целочисленного переполнения в Skia, открытой библиотеке 2D графики. Её обнаружили Бенуа Севенс и Клеман Лесинь из Группы анализа угроз Google (TAG) 24 ноября 2023 года.
Google подтвердил, что существует эксплоит для CVE-2023-6345, но не раскрывает подробности об атаках или угрозах, связанных с её использованием.
Отмечается, что в апреле 2023 года Google уже выпускал патч для аналогичной уязвимости целочисленного переполнения в Skia (CVE-2023-2136), которая также активно эксплуатировалась. Существует вероятность, что CVE-2023-6345 может обходить этот патч.
CVE-2023-2136 позволяла удаленному атакующему, скомпрометировавшему процесс рендеринга, потенциально осуществить побег из песочницы через специально созданную HTML-страницу.
Компания с начала года исправила семь уязвимостей нулевого дня в Chrome, включая:
- CVE-2023-2033 (оценка CVSS: 8.8) - путаница типов в V8,
- CVE-2023-2136 (оценка CVSS: 9.6) - целочисленное переполнение в Skia,
- CVE-2023-3079 (оценка CVSS: 8.8) - путаница типов в V8,
- CVE-2023-4762 (оценка CVSS: 8.8) - путаница типов в V8,
- CVE-2023-4863 (оценка CVSS: 8.8) - переполнение буфера в WebP,
- CVE-2023-5217 (оценка CVSS: 8.8) - переполнение буфера в кодировке vp8 в libvpx.
- Источник новости
- www.securitylab.ru