В среду Google выпустила исправления для устранения новой активно используемой уязвимости “нулевого дня” (Zero-day) в браузере Chrome.
Уязвимость высокой степени опасности, с идентификатором CVE-2023-5217, описывается как переполнение буфера в формате сжатия VP8 в libvpx, свободной библиотеке видеокодеков от Google и Alliance for Open Media (AOMedia).
Эксплуатация подобных уязвимостей (переполнение буфера), может привести к сбоям программы или выполнению произвольного кода.
Клемент Лесинь (Clément Lecigne) из группы анализа угроз Google (TAG) был признан автором открытия и сообщения об этом дефекте 25 сентября 2023 года, а коллега-исследователь Мэдди Стоун (Maddie Stone) отметила на сайте X (ранее Twitter), что коммерческий поставщик шпионского ПО использовал эту уязвимость в своих целях.
Никаких дополнительных подробностей технологический гигант не раскрыл, ограничившись признанием того, что ему “известно о существовании эксплойта для CVE-2023-5217“.
Количество уязвимостей «нулевого дня» в Google Chrome, патчи для которых были выпущены в этом году, достигло пяти:
- CVE-2023-2033 (оценка CVSS: 8,8).
- CVE-2023-2136 (оценка CVSS: 9,6).
- CVE-2023-3079 (оценка CVSS: 8,8).
- CVE-2023-4863 (оценка CVSS: 8,8).
Пользователям рекомендуется обновить Chrome до версии 117.0.5938.132 для Windows, macOS и Linux, чтобы устранить потенциальные угрозы. Пользователям браузеров на базе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi, также рекомендуется применить исправления по мере их появления.
Материалы: Thehackernews.com (THN)