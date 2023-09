By

Google vydal mimopásmovú bezpečnostnú aktualizáciu na opravu kritickej zraniteľnosti vo svojom webovom prehliadači Chrome. Chyba, známa ako CVE-2023-4863, zahŕňa pretečenie vyrovnávacej pamäte haldy, ktoré ovplyvňuje formát obrázka WebP. Táto chyba zabezpečenia by mohla potenciálne viesť k ľubovoľnému spusteniu kódu alebo zlyhaniam.

Za objavenie tejto zraniteľnosti sa zaslúžili spoločnosti Apple Security Engineering and Architecture (SEAR) a The Citizen Lab na Munk School University of Toronto. Konkrétne detaily zneužitia neboli zverejnené, ale Google uznal, že zneužitie CVE-2023-4863 bolo pozorované vo voľnej prírode.

Táto najnovšia oprava je súčasťou pokračujúceho úsilia spoločnosti Google o riešenie zraniteľností nultého dňa v prehliadači Chrome. Od začiatku roka už spoločnosť opravila štyri takéto zraniteľnosti.

Okrem opravy od Google Apple rozšíril svoje opravy aj na adresu CVE-2023-41064, ďalšiu zraniteľnosť súvisiacu so spracovaním obrazu. Táto chyba zabezpečenia je problémom s pretečením vyrovnávacej pamäte v komponente Image I/O, čo môže viesť k spusteniu ľubovoľného kódu. Bol použitý v spojení s CVE-2023-41061 v reťazci využívania iMessage s nulovým kliknutím s názvom BLASTPASS na nasadenie spywaru Pegasus na plne opravených telefónoch iPhone so systémom iOS 16.6.

Podobnosti medzi CVE-2023-41064 a CVE-2023-4863, obe súvisiace so spracovaním obrazu a hlásené spoločnosťami Apple a The Citizen Lab, naznačujú potenciálne spojenie medzi týmito dvoma zraniteľnosťami.

Na ochranu pred potenciálnymi hrozbami sa používateľom odporúča aktualizovať prehliadač Chrome na verziu 116.0.5845.187/.188 pre Windows a 116.0.5845.187 pre macOS a Linux. Používatelia prehliadačov založených na prehliadači Chromium, ako sú Microsoft Edge, Brave, Opera a Vivaldi, by tiež mali použiť opravy hneď, ako budú k dispozícii.

Zdroje:

– [Názov zdroja 1]

– [Názov zdroja 2]