Обновление уже доступно, с установкой лучше не медлить.
ВчераGoogleвыпустилаобновление для системы безопасности, исправляющие серьезную уязвимость нулевого дня в веб-браузере Chrome, которая, по словам компании, активно используется злоумышленниками.
Уязвимость, отслеживаемая какCVE-2023-3079, была описана как ошибка«Type Confusion»(«Путаница типов») в движкеJavaScriptV8. Считается, что исследователь из группы анализа угрозGoogle TAGсообщил о проблеме 1 июня этого года.
Согласно данным NIST, ошибка ввода V8 в Google Chrome до версии 114.0.5735.110 позволяла удалённому злоумышленнику потенциально произвести«Heap Corruption»(«Повреждение кучи») через созданнуюHTML-страницу.
Технический гигант, как это обычно бывает, не раскрыл подробностей о характере атак, но отметил, что ему «известно, что эксплойт дляCVE-2023-3079уже существует в дикой природе (ITW)».
Разработчики Google исправили в общей сложности уже три активно используемых уязвимости нулевого дня в Chrome с начала этого года. К вышеупомянутой новой уязвимости следует вспомнить о двух предыдущих:
- CVE-2023-2033(оценка CVSS: 8,8) — Type Confusion в V8;
- CVE-2023-2136(оценка CVSS: 9,6) —Integer Overflowв Skia.
Всем пользователям рекомендуется, если этого ещё не произошло в автоматическом режиме, как можно скорее обновить Chrome до версии 114.0.5735.110 для Windows и 114.0.5735.106 для macOS и Linux для смягчения потенциальных угроз. Пользователям браузеров на базе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi, также рекомендуется применить исправление безопасности по мере его появления.