18 kwietnia 2023 r. firma Google wydała nową aktualizację dla wersji Chrome Desktop z aktualizacjami zabezpieczeń dla aktywnie wykorzystywanej drugiej luki dnia zerowego Chrome, która umożliwia atakującym wykonanie dowolnego kodu w celu zdalnego przejęcia pełnej kontroli nad systemem.

CVE-2023-2136 to błąd przepełnienia liczb całkowitych, który cyberprzestępcy wykorzystali teraz na wolności.

Google niedawno wydało aktualizację dla pierwszego Chrome zero-day w tym roku. Tydzień później wykryto drugi dzień zerowy, naprawiono i wydano łatkę dla tego samego.

Stabilne wydanie kanału aktualizacji

Firma Google wydała poprawioną wersję Chrome na poniższe platformy.

• Wersja systemu Windows: 112.0.5615.137/138
• Wersja Maca: 112.0.5615.137
• Wersja Linuksa: 112.0.5615.165

Clément Lecigne, który pracuje w Grupie Analizy Zagrożeń Google (TAG), zgłosił pierwszy dzień zerowy Google 11 kwietnia 2023 r.

Drugi dzień zerowy zgłosił 12 kwietnia 2023 r., dzień przed pierwszym dniem zerowym.

Poprawiona wersja zawiera przytłaczające 8 poprawek błędów, jak wspomniał Google.

• Wysoki CVE-2023-2133: dostęp do pamięci poza zakresem w Service Worker API. Zgłoszone przez Ronga Jiana z VRI w dniu 30.03.2023 r.
• Wysoki CVE-2023-2134: dostęp do pamięci poza zakresem w Service Worker API. Zgłoszone przez Ronga Jiana z VRI w dniu 30.03.2023 r.
• Wysoka CVE-2023-2135: Używaj po zwolnieniu w DevTools. Zgłoszone przez Cassidy Kim(@cassidy6564) w dniu 14.03.2023 r.
• Wysoka CVE-2023-2136: Przepełnienie całkowitoliczbowe w narty. Zgłoszone przez Clémenta Lecigne’a z Grupy Analizy Zagrożeń Google w dniu 12.04.2023 (Eksploatowany na wolności).
• Średni CVE-2023-2137: Przepełnienie bufora sterty w oprogramowaniu SQLite. Zgłoszone przez Nan Wang(@eternalsakura13) i Guang Gong z 360 Vulnerability Research Institute w dniu 05.04.2023 r.

Wyżej wymienionym badaczom bezpieczeństwa przyznano nagrody w wysokości od 3000 do 8000 USD. Firma Google nie opublikowała żadnych innych szczegółów dotyczących tej luki.

„Google zdaje sobie sprawę, że exploit dla CVE-2023-2136 istnieje w środowisku naturalnym. Dostęp do szczegółów błędów i linków może być ograniczony do większości użytkownicy są aktualizowani za pomocą poprawki.

Zachowamy również ograniczenia, jeśli błąd występuje w bibliotece innej firmy, od której podobnie zależą inne projekty, ale która nie została jeszcze naprawiona.” Google mówi.

Ten nowy dzień zerowy jest wykorzystywany w Skia, bibliotece grafiki 2-D, której większość programistów stron internetowych używa do tworzenia doskonałych, wysokiej jakości środowisk internetowych i grafiki.

Aktualizuj teraz

Aby rozwiązać aktywnie wykorzystywany problem bezpieczeństwa, wykonaj następujące czynności, aby rozpocząć ręczny proces aktualizacji Chrome do najnowszej wersji: –

• Przede wszystkim otwórz menu ustawień Chrome w prawym górnym rogu.
• Następnie musisz wybrać opcję „Pomoc”.
• Teraz wybierz opcję „Informacje o Google Chrome”.
• Teraz Twój Chrome sprawdzi dostępność najnowszej dostępnej aktualizacji i pobierze ją.

Dlatego, aby zapobiec dalszemu wykorzystywaniu, zdecydowanie zaleca się, aby użytkownicy zastosowali dostępną aktualizację, gdy tylko będzie ona dostępna.

Google poprosił swoich użytkowników o jak najszybszą aktualizację wersji Chrome.

Szukasz wszechstronnej platformy do zarządzania poprawkami dla wielu systemów operacyjnych — wypróbuj Patch Manager Plus