Все, что вам нужно знать о последнем аварийном патче нулевого дня и обновлении Chrome

13 сентября 2023 г.

Google только что пришлось выпустить обновление Chrome, состоящее из нескольких экстренных обновлений безопасности из-за уязвимостей нулевого дня — в четвертый раз в этом году.

Уязвимости нулевого дня в программном обеспечении (в данном случае Chrome) — это уязвимости, которые уже известны широкой публике и предположительно известны злоумышленникам. Также предполагается, что злоумышленники либо активно пытаются, либо уже используют эти уязвимости. «Нулевой день» относится к разработчикам, которые на ноль дней опережают более широкую аудиторию с точки зрения знания об ошибке и возможности ее устранения. Вот что на данный момент известно об этой конкретной лазейке нулевого дня:

Уязвимость получила от Google обозначение CVE-2023-4863 и согласно Помогите Net Security, это «критическая уязвимость переполнения буфера кучи» в коде Chrome. В нем объясняется, что переполнение буфера может вызвать сбои и бесконечные циклы, и эти моменты перегрузки можно использовать для развертывания произвольного кода.

Google обратил внимание на эту проблему в своем блоге Chrome Releases, где команда Chrome напрямую публикует новости. SecurityWeek сообщает, что эксплойту был присвоен уровень «критической серьезности».

programming — (Изображение предоставлено: Pixabay)

Поднятие тревоги по поводу уязвимости

Google был проинформирован об этой ошибке компанией Apple Security Engineering and Architecture (SEAR) и Гражданской лабораторией Университета Торонто на прошлой неделе. Citizen Lab работает над поиском таких эксплойтов, как уязвимости нулевого дня, которые используются в целевых шпионских атаках со стороны одобренных правительством злоумышленников, стремящихся нанести вред таким людям, как оппозиционные политики, журналисты и диссиденты по всему миру. Он также часто расследует и информирует о коммерческих поставщиках шпионского ПО.

Google подтвердил, что этой уязвимостью воспользовались в реальных условиях, но не предоставил подробной информации о ней. Причиной этого, вероятно, является то, что Google хотел бы распространить исправленную версию обновления как минимум для большинства пользователей Chrome, прежде чем раскрывать какие-либо подробности, чтобы предотвратить создание новых эксплойтов.

google office — (Изображение предоставлено Shutterstock / Sundry Фотография)

Что Google рекомендует пользователям Chrome делать дальше

Недавно исправленная обновленная версия Chrome в настоящее время доступна для обновлений по каналам выпуска Stable и Extended Stable. Google планирует предоставить обновление патча всем пользователям в ближайшие недели. А также Google также объявила, что ввела еженедельные обновления для Chrome, поэтому даже за пределами чрезвычайных ситуаций ваш браузер Chrome регулярно обновляется (в том числе с точки зрения безопасности).

Google призывает пользователей установить это обновление как можно скорее; это означает версию 116.0.5845.187 для Mac и Linux и 116.0.5845.187/.188 для Windows. Это должно исправить CVE-2023-4863.

BleepingComputer пишет что это обновление уже было доступно, когда оно сообщило об этой истории, и я обнаружил, что это правда. Вам потребуется перезапустить браузер, но Chrome также должен сохранить сеанс, чтобы снова открыть его после перезапуска. Вы можете запросить обновление браузера, выполнив следующие действия:

1. Нажмите на значок из трех точек в правом верхнем углу ленты Chrome.

2. Наведите указатель мыши на Справка, и появится раскрывающееся меню.

3. Выберите О Google Chrome.

В верхней части этого раздела должно быть указано, можете ли вы обновить свой браузер или нет. После этого ваш браузер Chrome должен проверить наличие обновлений и установить их автоматически. Наконец, он попросит вас перезапустить браузер.

Это довольно тревожное событие, но у Chrome также самая большая база пользователей среди всех браузеров. Другой конец этой палки заключается в том, что это один из самых привлекательных хранилищ пользовательской информации, который могут попытаться растрясти враждебные субъекты.

Компания отреагировала активно и очень быстро выпустила обновление, и это стандарт, который мы ожидаем от такого технологического гиганта, как Google. Хорошо, что он оправдал большие ожидания.