Google lansează o actualizare pentru un zero-day exploatat în mod activ

Google a lansat miercuri actualizări pentru a remedia o nouă vulnerabilitate de tip zero-day exploatată în mod activ în browser-ul Chrome.

Urmărită ca fiind CVE-2023-5217, vulnerabilitatea cu grad de severitate high a fost descrisă ca fiind de tip heap-based buffer overflow în VP8 compression format din libvpx, o bibliotecă de codecuri video de software liber de la Google și Alliance for Open Media (AOMedia).

Exploatarea unor astfel de vulnerabilități de tip buffer overflow poate duce la blocarea programului sau la executarea de cod arbitrar, afectând disponibilitatea și integritatea acestuia.

Cu toate aceasta, Google a remediat un număr de 5 vulnerabilități de tip zero-day de la începutul acestui an:

• CVE-2023-2033 (CVSS score: 8.8) – Type confusion in V8;
• CVE-2023-2136 (CVSS score: 9.6) – Integer overflow in Skia;
• CVE-2023-3079 (CVSS score: 8.8) – Type confusion in V8;
• CVE-2023-4863 (CVSS score: 8.8) – Heap buffer overflow in WebP.

Această schimbare survine în contextul în care Google a atribuit un nou identificator CVE, CVE-2023-5129, vulnerabilității critice din librăria de imagini libwebp, identificată inițial ca fiind CVE-2023-4863, care a fost exploatată activ.

Utilizatorilor li se recomandă să actualizeze aplicațiile la versiunea Chrome 117.0.5938.132 pentru Windows, macOS și Linux.

Utilizatorii de browsere bazate pe Chromium, cum ar fi Microsoft Edge, Brave, Opera și Vivaldi, sunt, de asemenea, sfătuiți să aplice remedierile pe măsură ce acestea devin disponibile.

Sursă: https://thehackernews.com/2023/09/update-chrome-now-google-releases-patch.html