Η Google κυκλοφόρησε μια έκτακτη ενημέρωση ασφαλείας για το πρόγραμμα περιήγησης Chrome, η οποία επιδιορθώνει ένα κρίσιμο ζήτημα ασφάλειας που χρησιμοποιείται ήδη από κακόβουλους χρήστες.
Οι χρήστες του Chrome θα πρέπει να ενημερώσουν άμεσα τη σταθερή έκδοση του προγράμματος περιήγησης στη νέα έκδοση για να προστατευτούν από πιθανές επιθέσεις.
Αυτό γίνεται εύκολα σε επιτραπέζια συστήματα: απλώς ανοίξτε την εσωτερική διεύθυνση chrome://settings/help και περιμένετε μέχρι να βρει και να κατεβάσει την ενημέρωση του Chrome. Η σελίδα εμφανίζει επίσης την εγκατεστημένη έκδοση, η οποία θα πρέπει να είναι η εξής μετά την εγκατάσταση της ενημέρωσης:
Chrome σε συστήματα Linux ή Mac: 116.0.5845.187
Chrome σε συσκευές Windows: 116.0.5845.187 ή 116.0.5845.188
Chrome Extended Stable για Mac: 116.0.5845.187
Chrome Extended Stable για Windows: 116.0.5845.188
Η Google δεν έχει κυκλοφορήσει ακόμη την ενημέρωση ασφαλείας για το Android Stable, μόνο για το Android Early Stable.
Η Google έδωσε ορισμένες πληροφορίες για το κρίσιμο κενό ασφαλείας του Chrome στο επίσημο blog Chrome Releases. Πρόκειται για μια ευπάθεια υπερχείλισης buffer στο WebP.
Το WebP είναι μια μορφή εικόνας που “παρέχει ανώτερη συμπίεση χωρίς απώλειες για εικόνες στο Web”, σύμφωνα με την Google. Η Google αναφέρει ότι οι εικόνες WebP είναι κατά μέσο όρο 26% μικρότερες σε μέγεθος σε σύγκριση με τις εικόνες PNG και μεταξύ 25% και 34% μικρότερες από τις εικόνες JPEG.
Το WebP είναι μια κοινή μορφή εικόνας στο Διαδίκτυο. Παρόλο που η Google δεν προσφέρει πρόσθετες λεπτομέρειες σχετικά με την ευπάθεια, προειδοποιεί τους χρήστες ότι το κενό ασφαλείας χρησιμοποιείται ήδη.
Το κενό ασφαλείας, CVE-2023-4863, είναι η τέταρτη 0day ευπάθεια που επιδιορθώθηκε η Google στον Chrome το 2023. Τα 0day που επιδιορθώθηκαν συνολικά ήταν:
- CVE-2023-2033 – Type Confusion in V8 (Chrome 112)
- CVE-2023-2136 – Integer overflow in the Skia graphics library (Chrome 112)
- CVE-2023-3079 – Type Confusion in V8 (Chrome 114)