Google retter 0-dag

Anden 0-dagssårbarhed i Chrome i 2023

Google advarer om, at der er fundet en ny 0-dagssårbarhed i Chrome. Det skriver Security Week.

Sårbarheden har id’et CVE-2023-2136 og betegnes som et ’integer overflow issue’ i Skia. Google skriver i sin advisory, at man er bevidst om exploits af sårbarheden in-the-wild. CVE-2023-2136 er den anden 0-dags sårbarhed, der er rettet i Chrome i år, efter et ’type confusion issue’ i V8 JavaScript engine (CVE-2023-2033) blev rettet i forbindelse med en nødpatch i sidste uge.

Den seneste Chrome 112-opdatering indeholder otte sikkerhedsrettelser, hvoraf fem adresserer sårbarheder rapporteret af eksterne researchere. Fire fejl vurderes til ’høj’ grad af alvorlighed.

Google siger, at det uddelte $20.000 i bug-bounty til researcherne bag fundene.

Den nye Chrome-iteration udrulles som version 112.0.5615.137 til Mac og som version 112.0.5615.137/138 til Windows. En ny Chrome til Linux-udgivelse kommer snart.

Links:

https://www.securityweek.com/google-patches-second-chrome-zero-day-vulnerability-of-2023/