Обновите Chrome сейчас, чтобы избежать этой крупной уязвимости нулевого дня

Дядя Влад

Браузер Google Chrome подвергся первой атаке нулевого дня в 2023 году, и с сегодняшнего дня Google начала развертывание экстренного обновления для устранения эксплойта.

Google подробно рассказал в своем блоге Chrome Release, что ему известно о существовании эксплойта для CVE-2023-2033. По данным Bleeping Computer, он, вероятно, циркулирует с начала года.

Google Chrome открыт с несколькими вкладками.
Ариф Бахус/ Digital Trends

Эксплойт был обнаружен и описан Клементом Лесинем из группы анализа угроз Google (TAG). Группа известна тем, что выявляет спонсируемых правительством злоумышленников, которые намереваются взломать Google, чтобы получить доступ к высокопоставленным лицам, таким как журналисты и конкурирующие политики, чтобы они могли заразить их учетные записи и устройства шпионским ПО, отмечается в публикации.

Уязвимость CVE-2023-2033 считается очень серьезной и описана как «недостаток путаницы в движке JavaScript Chrome V8». Однако в настоящее время Google поделился некоторыми другими подробностями об атаке, в частности о том, как уязвимость CVE-2023-2033 использовалась в реальных атаках. Название «zero-day» указывает на то, что уязвимость все еще существует, несмотря на то, что Google устранил ее с помощью обновления.

«Доступ к сведениям об ошибках и ссылкам может быть ограничен до тех пор, пока большинство пользователей не получат исправление», — заявили в Google. «Мы также сохраним ограничения, если ошибка существует в сторонней библиотеке, от которой также зависят другие проекты, но которые еще не исправлены».

Версия обновления 112.0.5615.121, устраняющая CVE-2023-2033, в настоящее время доступна для пользователей Chrome в канале Stable Desktop и будет развернута для всех пользователей в течение нескольких дней и недель. Обновление совместимо с системами Windows, Mac и Linux. BleepingComputer отметил, что смог сразу получить доступ к обновлению, перейдя в меню Chrome > Справка > О Google Chrome . Обновление также автоматически попадет в браузеры Chrome, когда оно будет доступно после перезапуска.

В марте 2022 года аналогичная уязвимость нулевого дня под названием CVE-2022-1096 затронула механизм JavaScript Chrome V8, особенно на устройствах Mac.

Крупная уязвимость нулевого дня, затронувшая программы Windows в июне 2022 года, под названием CVE-2022-30190, Follina , была прослежена до китайской хакерской группы TA413 и была нацелена на тибетскую диаспору, а также на правительственные учреждения США и ЕС.