Google remediază un zero-day în Chrome

Compania Google a lansat recent o actualizare de securitate urgentă în cadrul versiunii Chrome 116 pentru a remedia a 4-a vulnerabilitate de tip zero-day descoperită în anul 2023.

Urmărită ca CVE-2023-4863 și evaluată cu un grad de severitate critic, vulnerabilitatea este de tip heap buffer overflow în componenta WebP.

WebP este un format de imagine care oferă o calitate îmbunătățită în comparație cu bine-cunoscutele formate JPEG și PNG și care este acceptat de majoritatea browserelor, inclusiv Chrome, Firefox, Safari, Edge și Opera.

Vulnerabilitățile de tip heap buffer overflow apar atunci când o aplicație scrie mai multe date într-un buffer de memorie alocat decât poate conține acesta. Astfel de vulnerabilități pot fi exploatate pentru a bloca executarea unei aplicații și pentru a obține executarea arbitrară de cod.

Actualizarea Google Chrome vine la doar câteva zile după ce Apple a anunțat remedierea unor vulnerabilități de tip zero-day în iOS și macOS.

De asemenea, Google a mai remediat în acest an alte 3 vulnerabilități de tip zero-day:

• CVE-2023-3079 – type confusion in the V8 engine în luna iunie;
• CVE-2023-2033 – type confusion in the V8 engine în luna aprilie;
• CVE-2023-2136 – integer overflow in Skia în luna aprilie.

Utilizatorii Chrome sunt sfătuiți să își actualizeze browserul web la versiunea 116.0.5845.187 (Mac și Linux) și 116.0.5845.187/.188 (Windows) cât mai curând posibil.

Sursă: https://www.securityweek.com/google-patches-chrome-zero-day-reported-by-apple-spyware-hunters/