Google выпустила обновления для системы безопасности, исправляющие семь проблем безопасности в своем браузере Chrome, включая "нулевой день", который активно использовался в дикой природе.
Уязвимость высокой степени серьезности, отслеживаемая как CVE-2023-6345, была описана как ошибка переполнения целых чисел в Skia, библиотеке 2D-графики с открытым исходным кодом.
Бенуа Севенсу и Клеману Лесину из группы анализа угроз Google (TAG) приписывают обнаружение уязвимости и сообщение о ней 24 ноября 2023 года.
Как это обычно бывает, поисковый гигант признал, что "эксплойт для CVE-2023-6345 существует в дикой природе", но воздержался от обмена дополнительной информацией о характере атак и субъектах угрозы, которые могут использовать его в реальных атаках.
Стоит отметить, что Google выпустил исправления для аналогичной ошибки переполнения целых чисел в том же компоненте (CVE-2023-2136) в апреле 2023 года, которая также активно использовалась в качестве нулевого дня, повышая вероятность того, что CVE-2023-6345 может быть обходом исправления для первого.
Сообщается, что CVE-2023-2136 "позволил удаленному злоумышленнику, скомпрометировавшему процесс рендеринга, потенциально выполнить выход из изолированной среды через созданную HTML-страницу".
С последним обновлением технологический гигант исправил в общей сложности шесть проблем с нулевым днем в Chrome с начала года -
Уязвимость высокой степени серьезности, отслеживаемая как CVE-2023-6345, была описана как ошибка переполнения целых чисел в Skia, библиотеке 2D-графики с открытым исходным кодом.
Бенуа Севенсу и Клеману Лесину из группы анализа угроз Google (TAG) приписывают обнаружение уязвимости и сообщение о ней 24 ноября 2023 года.
Как это обычно бывает, поисковый гигант признал, что "эксплойт для CVE-2023-6345 существует в дикой природе", но воздержался от обмена дополнительной информацией о характере атак и субъектах угрозы, которые могут использовать его в реальных атаках.
Стоит отметить, что Google выпустил исправления для аналогичной ошибки переполнения целых чисел в том же компоненте (CVE-2023-2136) в апреле 2023 года, которая также активно использовалась в качестве нулевого дня, повышая вероятность того, что CVE-2023-6345 может быть обходом исправления для первого.
Сообщается, что CVE-2023-2136 "позволил удаленному злоумышленнику, скомпрометировавшему процесс рендеринга, потенциально выполнить выход из изолированной среды через созданную HTML-страницу".
С последним обновлением технологический гигант исправил в общей сложности шесть проблем с нулевым днем в Chrome с начала года -
- CVE-2023-2033 (оценка CVSS: 8,8) - Путаница в версии 8
- CVE-2023-2136 (оценка CVSS: 9,6) - Переполнение целых чисел в Skia
- CVE-2023-3079 (оценка CVSS: 8,8) - Путаница в версии 8
- CVE-2023-4863 (оценка CVSS: 8,8) - Переполнение буфера кучи в WebP
- CVE-2023-5217 (оценка CVSS: 8,8) - Переполнение буфера кучи в кодировке vp8 в libvpx
