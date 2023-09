Google hat in befeiligingsupdate bûten de band frijlitten om in krityske kwetsberens te patchjen yn har Chrome-webbrowser. De flater, bekend as CVE-2023-4863, omfettet in heapbufferoerstream dy't it WebP-ôfbyldingsformaat beynfloedet. Dizze kwetsberens kin mooglik liede ta arbitrêre koade-útfiering of crashes.

De ûntdekking fan 'e kwetsberens waard byskreaun oan Apple Security Engineering and Architecture (SEAR) en The Citizen Lab oan' e Universiteit fan Toronto's Munk School. De spesifike details fan 'e eksploitaasje binne net bekend makke, mar Google hat erkend dat in eksploitaasje foar CVE-2023-4863 yn it wyld is waarnommen.

Dizze lêste patch is diel fan Google's oanhâldende ynspanningen om kwetsberheden fan nul dagen yn Chrome oan te pakken. Sûnt it begjin fan it jier hat it bedriuw al fjouwer sokke kwetsberens reparearre.

Njonken de patch fan Google hat Apple har fixes ek útwreide om CVE-2023-41064 oan te pakken, in oare kwetsberens yn ferbân mei ôfbyldingsferwurking. Dizze kwetsberens is in bufferoerlêstprobleem yn 'e Image I/O-komponint, wat kin liede ta willekeurige koade-útfiering. It waard brûkt yn gearhing mei CVE-2023-41061 yn in nul-klik iMessage eksploitaasjeketen mei de namme BLASTPASS om de Pegasus spyware yn te setten op folslein patched iPhones mei iOS 16.6.

De oerienkomsten tusken CVE-2023-41064 en CVE-2023-4863, beide relatearre oan byldferwurking en rapporteare troch Apple en The Citizen Lab, suggerearje in potinsjele ferbining tusken de twa kwetsberens.

Om te beskermjen tsjin potinsjele bedrigingen, wurde brûkers advisearre om har Chrome-blêder te aktualisearjen nei ferzje 116.0.5845.187/.188 foar Windows en 116.0.5845.187 foar macOS en Linux. Brûkers fan Chromium-basearre browsers, lykas Microsoft Edge, Brave, Opera, en Vivaldi, moatte de patches ek tapasse sa gau as se beskikber binne.

