Google hà publicatu una aghjurnazione di sicurezza fora di banda per patch una vulnerabilità critica in u so navigatore web Chrome. U difettu, cunnisciutu cum'è CVE-2023-4863, implica un overflow di buffer di mucchio chì afecta u formatu di l'imaghjini WebP. Questa vulnerabilità puderia purtà à l'esecuzione di codice arbitrariu o crashes.

A scuperta di a vulnerabilità hè stata creditata à Apple Security Engineering and Architecture (SEAR) è u Citizen Lab in a Munk School di l'Università di Toronto. I dettagli specifichi di u sfruttamentu ùn sò micca stati divulgati, ma Google hà ricunnisciutu chì un sfruttamentu per CVE-2023-4863 hè statu osservatu in natura.

Questu ultimu patch face parte di i sforzi continui di Google per affruntà i vulnerabilità zero-day in Chrome. Dapoi u principiu di l'annu, a cumpagnia hà digià riparatu quattru tali vulnerabilità.

In più di u patch di Google, Apple hà ancu allargatu i so correzioni per indirizzà CVE-2023-41064, una altra vulnerabilità ligata à u processatu di l'imaghjini. Questa vulnerabilità hè un prublema di overflow di buffer in u cumpunente Image I/O, chì puderia purtà à l'esecuzione di codice arbitrariu. Hè stata aduprata in cunjunzione cù CVE-2023-41061 in una catena di sfruttamentu di iMessage à zero-click chjamata BLASTPASS per implementà u spyware Pegasus in iPhones cumplettamente patchati cù iOS 16.6.

E similitudini trà CVE-2023-41064 è CVE-2023-4863, tramindui ligati à l'elaborazione di l'imaghjini è rappurtati da Apple è U Citizen Lab, suggerenu una cunnessione potenziale trà e duie vulnerabili.

Per pruteggiri contr'à e minacce potenziali, l'utilizatori sò cunsigliati per aghjurnà u so navigatore Chrome à a versione 116.0.5845.187/.188 per Windows è 116.0.5845.187 per macOS è Linux. L'utilizatori di navigatori basati in Chromium, cum'è Microsoft Edge, Brave, Opera è Vivaldi, anu da ancu applicà i patch appena dispunibuli.

