Af Eskil Sørensen, 29/11/23
Google har rettet 0-dagssårbarhed og udsendt en ’nødsikkerhedsopdatering’ for at imødegå igangværende udnyttelse.
Det skriver Bleeping Computer og The Hacker News onsdag morgen, og en række andre medier vil sandsynligvis følge trop. Sårbarheden har id’et CVE-2023-6345. En CVSS-score er ikke angivet endnu, men når der er tale om en ’remote code execution’-sårbarhed, som er under udnyttelse ’in-the-wild’, så er dens score i al fald ikke i den lave ende.
Sårbarheden er blevet rettet i Stable Desktop-kanalen, hvor patchede versioner udrulles globalt til Windows-brugere (119.0.6045.199/.200) og Mac- og Linux-brugere (119.0.6045.199). Det plejer at tage nogle dage, men som regel kan brugere af Chromebrowseren selv fremkalde en opdatering ved at gå til Indstillinger > Hjælp> Om Google Chrome. Herefter søger browseren selv efter opdateringen og installerer den efter en genstart.
Bleeping Computer skriver i sin omtale af sagen, sårbarheden stammer fra en overflow svaghed i Skia open source 2D-grafikbibliotek. Skia bruges også som en grafikmotor af andre produkter som ChromeOS, Android og Flutter).
Fejlen blev rapporteret fredag den 24. november af to researchere fra Googles Threat Analysis Group (TAG). TAG er kendt for at afsløre 0-dagssårbarheder, der ofte udnyttes af statssponsorerede hackergrupper i spyware-kampagner rettet mod højprofilerede personer som journalister og oppositionspolitikere.
Detaljer om selve sårbarheden er indtil videre ikke lagt frem. Det afventer, at de fleste brugere har opdateret deres browsere eller at evt. tredjepartsprodukter under påvirkning af sårbarheden også er rettet.
Links:
https://thehackernews.com/2023/11/zero-day-alert-google-chrome-under.html