Google doporučuje urychleně aktualizovat Chrome – byla zjištěna zranitelnost zero-day

Za poslední rok 90 % společností po celém světě zažilo alespoň jeden vnější průnik. Navíc téměř dvě třetiny organizací (63 %) zažily alespoň tři útoky! Důvodem byla mimo jiné pandemie, která zkomplikovala zajištění informační bezpečnosti provozních technologií.

• Jakým hrozbám firmy nejčastěji čelí?
• Proč roste počet narušení vnitřní bezpečnosti?
• Jak pandemie ovlivnila konvergenci IT a OT sítí?

Zaregistrujte se a získejte průzkum o stavu provozních technologií a informační bezpečnosti v roce 2021.

Vysoce nebezpečná zero-day zranitelnost v Chromu vyžaduje okamžitou aktualizaci

Chrome objevil svou sedmou zero-day zranitelnost od začátku roku. Téměř duplikuje jiný, odstraněný v dubnu a také předmětem aktivního využívání.

Začátek z pískoviště

Google zavedl neplánovanou opravu pro prohlížeč Chrome kvůli objevu vysoce nebezpečné (v některých zdrojích kritické) zranitelnosti, která je již aktivně využívána.

„Chyba“ pod indexem CVE-2023-6345 patří do třídy „integer overflow“ a přímo ovlivňuje open-source knihovnu Skia 2D grafické akcelerace, kterou prohlížeč používá k vykreslování webových stránek.

Tato chyba zabezpečení znamená, že útočník pomocí speciálně vytvořeného souboru může obejít bezpečnostní mechanismy Chrome – tzn. překročit pískoviště.

Foto: G / Fotobanka Unsplash
V prohlížeči Chrome byla nalezena sedmá zranitelnost zero-day z roku 2023.

Problém odhalili zaměstnanci skupiny Google Threat Analysis Group Benoit Sevan (Benoît Sevens) a Clément Lesigne (Clément Lecigne).

Všechny verze Chromu jsou zranitelné, kromě nejnovější – 119.0.6045.199, bez ohledu na operační systém (Windows, Mac nebo Linux). Již nyní, pokud v nastavení Chrome přejdete do sekce „O prohlížeči Chrome“, automaticky se spustí stahování a instalace chráněné verze.

„Přejít mimo sandbox Chrome znamená, že by potenciální útočník mohl spustit libovolný škodlivý kód do kontextu prohlížeče,“ říká SEQ CISO Anastasia Melnikovová. Chrome má podle ní zabudovanou službu eskalace oprávnění, která prohlížeči poskytuje možnost provádět určité operace s administrátorskými právy v systému. „V důsledku toho mohou útočníci prostřednictvím řady manipulací získat úplnou kontrolu nad systémem, na kterém běží neopravená verze prohlížeče. Aktualizaci proto za žádných okolností neotálejte, protože celá procedura trvá několik sekund,“ uzavřela.

. A šest dalších

Kromě té kritické opravuje aktualizace Chrome šest dalších vysoce rizikových zranitelností. Ale pouze CVE-2023-6345 je zranitelnost zero-day, což znamená, že její využívání začalo dříve, než se o ní dodavatel dozvěděl. Dosud nebyl hodnocen na stupnici hrozeb CVSS, ale jeho stav vysoké hrozby znamená, že nebude ohodnocen výše než 8,9.

V dubnu 2023, jak poznamenal The Hacker News, Google již opravil podobnou chybu zabezpečení (CVE-2023-2136) ve stejné komponentě. Jediný rozdíl je v tom, že k jeho ovládání jste nepotřebovali speciální soubor, ale HTML stránku.

Celkově byl Google od začátku roku nucen opravit ve svém prohlížeči sedm zero-day zranitelností.

• Ve kterém datovém centru by mělo být umístěno zařízení Colocation? Odpověď najdete na IT trhu Market.CNews

Google tento rok naléhavě opravuje šestou zero-day zranitelnost Chrome

Xakep #300. Číslo tři sta

• Obsah čísla
• Předplatné „Hacker“ -60 %

Vývojáři Google vydali nouzovou aktualizaci pro Chrome, která eliminovala 0denní zranitelnost v prohlížeči, která již byla napadena. Tato chyba byla šestým problémem nultého dne opraveným v Chromu v roce 2023.

Zranitelnost byla objevena skupinou Google Threat Analysis Group (TAG) 24. listopadu 2023 a obdržela identifikátor CVE-2023-6345. Vědci varovali, že už pro něj existuje exploit, který útočníci využívají.

Problém údajně souvisí s přetečením celého čísla v open source knihovně Skia, určené pro práci s 2D grafikou. Zneužití této chyby zabezpečení může vést buď k jednoduchým selháním, nebo ke spuštění libovolného kódu. Skia se navíc používá jako motor v jiných produktech, včetně ChromeOS, Android a Flutter.

Přestože podrobnosti o objevené zranitelnosti dosud nebyly zveřejněny (společnost dává uživatelům více času na instalaci aktualizací), odborníci na TAG Google jsou známí tím, že odhalují chyby 0 dnů používané při cílených špionážních útocích „vládních“ hackerů, kteří se často zaměřují na novináři, aktivisté a opoziční politici a tak dále. Dá se předpokládat, že CVE-2023-6345 nebude výjimkou.

Opravené verze prohlížeče jsou v současné době k dispozici všem uživatelům Chrome v systémech Windows (119.0.6045.199/.200), Mac a Linux (119.0.6045.199).