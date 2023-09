Google har udgivet en sikkerhedsopdatering uden for båndet for at rette en kritisk sårbarhed i sin Chrome-webbrowser. Fejlen, kendt som CVE-2023-4863, involverer et heap-bufferoverløb, der påvirker WebP-billedformatet. Denne sårbarhed kan potentielt føre til vilkårlig kodekørsel eller nedbrud.

Opdagelsen af ​​sårbarheden blev krediteret Apple Security Engineering and Architecture (SEAR) og The Citizen Lab ved University of Torontos Munk School. De specifikke detaljer om udnyttelsen er ikke blevet afsløret, men Google har erkendt, at en udnyttelse til CVE-2023-4863 er blevet observeret i naturen.

Denne seneste patch er en del af Googles igangværende bestræbelser på at løse zero-day sårbarheder i Chrome. Siden begyndelsen af ​​året har virksomheden allerede rettet fire sådanne sårbarheder.

Ud over Googles patch har Apple også udvidet sine rettelser til at adressere CVE-2023-41064, en anden sårbarhed relateret til billedbehandling. Denne sårbarhed er et bufferoverløbsproblem i Image I/O-komponenten, som kan føre til vilkårlig kodekørsel. Det blev brugt sammen med CVE-2023-41061 i en iMessage-udnyttelseskæde med nul klik ved navn BLASTPASS til at implementere Pegasus-spywaren på fuldt patchede iPhones, der kører iOS 16.6.

Lighederne mellem CVE-2023-41064 og CVE-2023-4863, begge relateret til billedbehandling og rapporteret af Apple og The Citizen Lab, tyder på en potentiel forbindelse mellem de to sårbarheder.

For at beskytte mod potentielle trusler rådes brugere til at opdatere deres Chrome-browser til version 116.0.5845.187/.188 til Windows og 116.0.5845.187 til macOS og Linux. Brugere af Chromium-baserede browsere, såsom Microsoft Edge, Brave, Opera og Vivaldi, bør også anvende patcherne, så snart de er tilgængelige.

