Компания исправила уязвимость «нулевого дня» для пользователей Google Chrome на канале Stable Desktop. Через день после того, как об ошибках безопасности сообщил Google, исправленные версии уже были предложены пользователям Windows (120.0.6099.129/130), Mac и Linux (120.0.6099.129).
В бюллетени безопасности сообщается:
Google известно, что в реальных атаках используется эксплойт для CVE-2023-7024.
Уязвимость обнаружена Клеманом Лецинем (Clement Lecigne) и Владом Столяровым из Группы анализа угроз Google (Threat Analysis Group, TAG). Основной задачей этого коллектива является защита клиентов Google от проправительственных атак.
TAG часто обнаруживает ошибки «нулевого дня», которые используются спонсируемыми правительством хакерами в таргетированных атаках, направленных на установку шпионского ПО на устройства особо опасных лиц, включая оппозиционных политиков, диссидентов и журналистов.
Несмотря на то, что распространение патча может занять несколько дней или недель, в большинстве случае исправление будет сразу доступно для установки.
Браузер будет автоматически проверять наличие новых обновлений и устанавливать их при следующем запуске. Чтобы проверить доступность обновлений вручную, перейдите в меню > Справка > О браузере Google Chrome или откройте страницу chrome://settings/help. Если обновление доступно, то браузер скачает и установит свежую версию.
Вы также можете скачать новую версию браузера с нашего сайта:
Восьмая по счету уязвимость «нулевого дня», исправленная в этом году
Исправленная уязвимость с идентификатором CVE-2023-7024 получила высокий рейтинг опасности. Она связана с переполнением буфера кучи в фреймворке WebRTC с открытым исходным кодом. Многие другие браузеры, такие как Mozilla Firefox, Safari и Microsoft Edge, предоставляют возможности связи в реальном времени (RTC) (например, потоковое видео, обмен файлами и VoIP-телефония) через API JavaScript.
Хотя известно, что CVE-2023-7024 использовалась в реальных атаках, Google не сообщает подробности об инцидентах.
В сообщении Google отмечается:
Доступ к детальной информации об ошибке и ссылкам может быть ограничен до тех пор, пока большинство пользователей не получит исправление.
Мы также сохраним ограничения, если ошибка существует в сторонней библиотеке, от которой аналогичным образом зависят другие проекты, которые еще не исправлены.
Это делается для того, чтобы снизить вероятность разработки злоумышленниками собственных эксплойтов CVE-2023-7024, не позволяя им воспользоваться новой технической информацией.
Ранее Google исправила семь других уязвимостей «нулевого дня», которые использовались в атаках: CVE-2023-6345, CVE-2023-5217, CVE-2023-4863, CVE-2023-3079, CVE-2023-4762, CVE-2023-2136 и CVE-2023-2033.
Некоторые из них, например CVE-2023-4762, были помечены как ошибки «нулевого дня», используемые для установки шпионского ПО спустя несколько недель после выпуска патча.
Обновления программ, что нового
• AdGuard 4.9 для Android: пользовательские стили и исправление статистики
• Samsung Galaxy A55 получил бета-версию One UI 7.0 на Android 15
• ОС «Аврора» на десктопе: показан первый прототип российской ОС для компьютеров
• Honor представит линейку Power с батареей 8000 мАч в 2025 году
• Обновление Intel ARC Game On Driver 32.0.101.6732 Non-WHQL. Поддержка The Last of Us Part II Remastered
• Qualcomm анонсировала Snapdragon 8s Gen 4 для среднего сегмента