Экстренное обновление Chrome: исправление критической уязвимости, эксплуатируемой в реальных атаках

2023-09-12 3761 комментарии
Компания Google выпустила экстренное обновление браузера Chrome с исправлением критической уязвимости, которая эксплуатируется в реальных атаках

Пользователям Chrome рекомендуется как можно скорее обновить стабильную версию браузера, чтобы защититься от потенциальных атак.

На платформах Windows, Linux или Mac могут запустить ручную проверку обновлений Chrome, чтобы ускорить получение патча.

Чтобы проверить версию Google Chrome, выполните следующие действия:

  • перейдите в меню > Справка > О браузере Google Chrome или откройте страницу chrome://settings/help.
  • Если обновление доступно, то браузер автоматически скачает и установит свежую версию.
  • Для завершения установки обновления потребуется перезапуск браузера.

Вы также можете скачать новую версию браузера с нашего сайта:

Скачать Google Chrome 116

Актуальные версии Google Chrome с исправлениями уязвимостей:

  • Google Chrome для Mac и Linux: 116.0.5845.187
  • Google Chrome для Windows: 116.0.5845.187 или 116.0.5845.188
  • Chrome Extended Stable для Mac: 116.0.5845.187
  • Chrome Extended Stable для Windows: 116.0.5845.188

Обновление пока не вышло для Chrome для Android на канале Stable, но уже доступно на канале Early Stable.

Исправление критической уязвимости

Подробная информация об исправленной уязвимости опубликована в блоге Chrome Releases. Сообщение о проблеме, представляющей собой уязвимость переполнения буфера динамической памяти в WebP, поступило в Google 6 сентября 2023 года от специалистов Apple Security Engineering and Architecture (SEAR) и The Citizen Lab.

WebP — это современный формат изображений, широко распространенный в сети, который, по словам Google, «обеспечивает превосходное сжатие без потерь и с потерями для изображений в Интернете». Google отмечает, что размер изображений WebP в среднем на 26% меньше, чем PNG, и на 25-34% меньше, чем JPEG.

Компания не сообщает никаких дополнительных подробностей об уязвимости, но предупреждает, что проблема эксплуатируется в реальных атаках. Предполагается, что для использования проблемы достаточно открыть в Chrome сайт со специально подготовленными изображением WebP.

Проблема безопасности CVE-2023-4863 является четвертой уязвимостью «нулевого дня», которую Google исправила в Chrome в 2023 году. Ранее были исправлены следующие уязвимости «нулевого дня»:

  • CVE-2023-2033 — уязвимость путаницы типов в движке V8 (Chrome 112)
  • CVE-2023-2136 — целочисленное переполнение в графической библиотеке Skia (Chrome 112)
  • CVE-2023-3079 — уязвимость путаницы типов в V8 (Chrome 114)

Пользователям Google Chrome следует немедленно обновить браузер, чтобы устранить проблему и защититься от эксплойтов. Пока неизвестно, затрагивает ли уязвимость другие браузеры на базе Chromium. Остается следить за обновлениями безопасности для Microsoft Edge, Brave, Vivaldi и Opera.

© . По материалам Ghacks
Комментарии и отзывы

Нашли ошибку?

Новое на сайте