Компания исправила уязвимость «нулевого дня» для пользователей Google Chrome на канале Stable Desktop. Через день после того, как об ошибках безопасности сообщил Google, исправленные версии уже были предложены пользователям Windows (120.0.6099.129/130), Mac и Linux (120.0.6099.129).
В бюллетени безопасности сообщается:
Google известно, что в реальных атаках используется эксплойт для CVE-2023-7024.
Уязвимость обнаружена Клеманом Лецинем (Clement Lecigne) и Владом Столяровым из Группы анализа угроз Google (Threat Analysis Group, TAG). Основной задачей этого коллектива является защита клиентов Google от проправительственных атак.
TAG часто обнаруживает ошибки «нулевого дня», которые используются спонсируемыми правительством хакерами в таргетированных атаках, направленных на установку шпионского ПО на устройства особо опасных лиц, включая оппозиционных политиков, диссидентов и журналистов.
Несмотря на то, что распространение патча может занять несколько дней или недель, в большинстве случае исправление будет сразу доступно для установки.
Браузер будет автоматически проверять наличие новых обновлений и устанавливать их при следующем запуске. Чтобы проверить доступность обновлений вручную, перейдите в меню > Справка > О браузере Google Chrome или откройте страницу chrome://settings/help. Если обновление доступно, то браузер скачает и установит свежую версию.
Вы также можете скачать новую версию браузера с нашего сайта:
Восьмая по счету уязвимость «нулевого дня», исправленная в этом году
Исправленная уязвимость с идентификатором CVE-2023-7024 получила высокий рейтинг опасности. Она связана с переполнением буфера кучи в фреймворке WebRTC с открытым исходным кодом. Многие другие браузеры, такие как Mozilla Firefox, Safari и Microsoft Edge, предоставляют возможности связи в реальном времени (RTC) (например, потоковое видео, обмен файлами и VoIP-телефония) через API JavaScript.
Хотя известно, что CVE-2023-7024 использовалась в реальных атаках, Google не сообщает подробности об инцидентах.
В сообщении Google отмечается:
Доступ к детальной информации об ошибке и ссылкам может быть ограничен до тех пор, пока большинство пользователей не получит исправление.
Мы также сохраним ограничения, если ошибка существует в сторонней библиотеке, от которой аналогичным образом зависят другие проекты, которые еще не исправлены.
Это делается для того, чтобы снизить вероятность разработки злоумышленниками собственных эксплойтов CVE-2023-7024, не позволяя им воспользоваться новой технической информацией.
Ранее Google исправила семь других уязвимостей «нулевого дня», которые использовались в атаках: CVE-2023-6345, CVE-2023-5217, CVE-2023-4863, CVE-2023-3079, CVE-2023-4762, CVE-2023-2136 и CVE-2023-2033.
Некоторые из них, например CVE-2023-4762, были помечены как ошибки «нулевого дня», используемые для установки шпионского ПО спустя несколько недель после выпуска патча.
Обновления программ, что нового
• В России запретили IP-телефонию для ограничения телефонного мошенничества
• МТС выпустила игровую приставку для облачного гейминга
• Samsung Galaxy S25: Локальная обработка ИИ на Snapdragon 8 Elite
• Масштабный сбой в работе ChatGPT и генератора видео Sora
• Роскомнадзор: вводить штрафы за использование VPN в России не планируется
• Обновление Intel ARC Game On Driver 32.0.101.6332 Non-WHQL: Исправления для процессоров Intel Core Ultra серии 2