We wtorek Google wprowadziło pilne poprawki, aby zaradzić kolejnemu aktywnie wykorzystywanemu, poważnemu błędowi typu zero-day w przeglądarce internetowej Chrome.
Wada, śledzona jako CVE-2023-2136, opisana jest jako przypadłość przekroczenia zakresu liczby całkowitej (integer overflow) w Skia, otwartoźródłowej bibliotece grafiki 2D. Clément Lecigne z Google's Threat Analysis Group (TAG) został uznany za osobę, która odkryła i zgłosiła błąd 12 kwietnia 2023 roku.
"Przekroczenie zakresu liczby całkowitej w Skia w Google Chrome przed wersją 112.0.5615.137 pozwalało zdalnemu atakującemu, który przejął kontrolę nad procesem renderowania, potencjalnie uniknąć piaskownicy za pomocą spreparowanej strony HTML",
według bazy danych narodowej podatności NIST (NVD).
Gigant technologiczny, który naprawił również siedem innych problemów związanych z bezpieczeństwem w najnowszej aktualizacji, poinformował, że jest świadomy aktywnego wykorzystywania tej wady, ale nie ujawnił dodatkowych szczegółów, aby zapobiec dalszym nadużyciom.
To druga podatność typu zero-day w Chrome wykorzystana przez cyberprzestępców w tym roku. Pojawiła się zaledwie kilka dni po tym, jak Google naprawiło CVE-2023-2033 w zeszłym tygodniu. Nie jest od razu jasne, czy oba ataki zero-day zostały połączone jako część działań zainfekowanych w rzeczywistości.
Zaleca się użytkownikom uaktualnienie do wersji 112.0.5615.137/138 dla Windows, 112.0.5615.137 dla macOS oraz 112.0.5615.165 dla Linux, aby zminimalizować potencjalne zagrożenia. Użytkownikom przeglądarek opartych na Chromium, takich jak Microsoft Edge, Brave, Opera i Vivaldi, zaleca się również zastosowanie poprawek, gdy tylko będą dostępne.
