Google het 'n sekuriteitsopdatering buite die band vrygestel om 'n kritieke kwesbaarheid in sy Chrome-webblaaier te herstel. Die fout, bekend as CVE-2023-4863, behels 'n hoop buffer-oorloop wat die WebP-beeldformaat beïnvloed. Hierdie kwesbaarheid kan moontlik lei tot arbitrêre kodeuitvoering of ineenstortings.

Die ontdekking van die kwesbaarheid is gekrediteer aan Apple Security Engineering and Architecture (SEAR) en The Citizen Lab by die Universiteit van Toronto se Munk-skool. Die spesifieke besonderhede van die ontginning is nie bekend gemaak nie, maar Google het erken dat 'n uitbuiting vir CVE-2023-4863 in die natuur waargeneem is.

Hierdie nuutste pleister is deel van Google se voortdurende pogings om nul-dag kwesbaarhede in Chrome aan te spreek. Sedert die begin van die jaar het die maatskappy reeds vier sulke kwesbaarhede reggemaak.

Benewens Google se pleister, het Apple ook sy regstellings uitgebrei om CVE-2023-41064 aan te spreek, nog 'n kwesbaarheid wat verband hou met beeldverwerking. Hierdie kwesbaarheid is 'n bufferoorloopprobleem in die Beeld I/O-komponent, wat kan lei tot arbitrêre kode-uitvoering. Dit is saam met CVE-2023-41061 gebruik in 'n nul-klik iMessage-ontginningsketting genaamd BLASTPASS om die Pegasus-spioenware te ontplooi op volledig gelapte iPhones met iOS 16.6.

Die ooreenkomste tussen CVE-2023-41064 en CVE-2023-4863, beide verwant aan beeldverwerking en gerapporteer deur Apple en The Citizen Lab, dui op 'n moontlike verband tussen die twee kwesbaarhede.

Om teen potensiële bedreigings te beskerm, word gebruikers aangeraai om hul Chrome-blaaier op te dateer na weergawe 116.0.5845.187/.188 vir Windows en 116.0.5845.187 vir macOS en Linux. Gebruikers van Chromium-gebaseerde blaaiers, soos Microsoft Edge, Brave, Opera en Vivaldi, moet ook die pleisters toepas sodra dit beskikbaar is.

