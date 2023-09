Google on välja andnud ribavälise turvavärskenduse, et parandada oma Chrome'i veebibrauseri kriitilist haavatavust. Viga, tuntud kui CVE-2023-4863, hõlmab kuhja puhvri ületäitumist, mis mõjutab WebP pildivormingut. See haavatavus võib potentsiaalselt põhjustada suvalise koodi käivitamise või kokkujooksmisi.

Haavatavuse avastamise eest tunnustati Apple Security Engineering and Architecture (SEAR) ja Toronto ülikooli Munk Schooli kodaniku laborit. Ärakasutamise täpsemaid üksikasju ei ole avalikustatud, kuid Google on tunnistanud, et CVE-2023-4863 ärakasutamist on looduses täheldatud.

See uusim plaaster on osa Google'i jätkuvatest jõupingutustest Chrome'i nullpäeva haavatavuste kõrvaldamiseks. Alates aasta algusest on ettevõte parandanud juba neli sellist turvaauku.

Lisaks Google'i paigale on Apple laiendanud oma parandusi ka CVE-2023-41064-le, mis on veel üks pilditöötlusega seotud haavatavus. See haavatavus on komponendi Image I/O puhvri ületäitumise probleem, mis võib viia suvalise koodi täitmiseni. Seda kasutati koos CVE-2023-41061-ga nullklõpsuga iMessage'i kasutusahelas nimega BLASTPASS, et juurutada Pegasuse nuhkvara täielikult paigatud iPhone'ides, milles töötab iOS 16.6.

Sarnasused CVE-2023-41064 ja CVE-2023-4863 vahel, mis mõlemad on seotud pilditöötlusega ja millest on teatanud Apple ja The Citizen Lab, viitavad potentsiaalsele seosele nende kahe haavatavuse vahel.

Võimalike ohtude eest kaitsmiseks soovitatakse kasutajatel värskendada oma Chrome'i brauser Windowsi jaoks versioonile 116.0.5845.187/.188 ning macOS-i ja Linuxi jaoks versioonile 116.0.5845.187. Chromiumipõhiste brauserite (nt Microsoft Edge, Brave, Opera ja Vivaldi) kasutajad peaksid samuti paigad rakendama niipea, kui need on saadaval.

