A Google 2023.04.18-án vészhelyzeti javításokat vezetett be a Chrome webböngésző újabb aktívan kihasználható, nagy súlyú nulladik napi hibájának kezelésére.
.A CVE-2023-2136 számon nyomon követhető “integer overflow” típusú sebezhetőség a Skia nyílt forráskódú 2D-s grafikus könyvtárt érinti. Clément Lecigne, a Google Threat Analysis Group (TAG) munkatársa fedezte fel és jelentette a hibát 2023. április 12-én.
A Google Chrome 112.0.5615.137 előtti verzióiban a Skia grafikus könyvtárban található integer overflow lehetővé tette a távoli támadó számára, hogy a renderelő folyamat megakadályozásával és egy módosított HTML oldal segítségével esetlegesen elkerülje a sandbox védelmét – olvasható a NIST National Vulnerability Database (NVD) adatbázisában.
A tech óriás, amely a legutóbbi frissítéssel hét másik biztonsági problémát is javított, közleménye szerint a hiba aktív kihasználása ismert, azonban a további visszaélések megelőzése érdekében erről nem közölt részleteket.
Ez a második olyan Chrome nulladik napi sebezhetőség, amelyet rosszindulatú szereplők idén kihasználtak, és mindössze néhány nappal azután következett be, hogy a Google a múlt héten patchelte a CVE-2023-2033-as biztonsági rést.
A potenciális fenyegetések mérséklése érdekében a felhasználóknak az alábbi verziókra ajánlott frissíteniük:
Operációs rendszer |
Verziószám |
Windows |
112.0.5615.137 |
macOS |
112.0.5615.165 |
Linux |
112.0.5615.165 |
A Chromium-alapú böngészők (mint például a Microsoft Edge, a Brave, az Opera és a Vivaldi) felhasználói számára szintén ajánlott a telepíteni a javításokat, amint azok elérhetővé válnak.
