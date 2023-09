Google je izdal izvenpasovno varnostno posodobitev za popravek kritične ranljivosti v svojem spletnem brskalniku Chrome. Napaka, znana kot CVE-2023-4863, vključuje prekoračitev medpomnilnika kopice, ki vpliva na format slike WebP. Ta ranljivost bi lahko povzročila izvajanje poljubne kode ali zrušitve.

Za odkritje ranljivosti so zasluge Apple Security Engineering and Architecture (SEAR) in The Citizen Lab na Munk School Univerze v Torontu. Podrobnosti izkoriščanja niso bile razkrite, vendar je Google priznal, da je bil izkoriščanje za CVE-2023-4863 opažen v naravi.

Ta zadnji popravek je del Googlovih stalnih prizadevanj za odpravo ranljivosti ničelnega dne v Chromu. Od začetka leta je podjetje odpravilo že štiri tovrstne ranljivosti.

Poleg Googlovega popravka je Apple svoje popravke razširil tudi na CVE-2023-41064, še eno ranljivost, povezano z obdelavo slik. Ta ranljivost je težava s prekoračitvijo medpomnilnika v komponenti Image I/O, ki bi lahko vodila do poljubnega izvajanja kode. Uporabljen je bil v povezavi s CVE-2023-41061 v verigi izkoriščanja iMessage brez klika, imenovani BLASTPASS, za namestitev vohunske programske opreme Pegasus na popolnoma popravljene telefone iPhone z operacijskim sistemom iOS 16.6.

Podobnosti med CVE-2023-41064 in CVE-2023-4863, oba povezana z obdelavo slik in o katerih sta poročala Apple in The Citizen Lab, kažejo na možno povezavo med obema ranljivostma.

Za zaščito pred morebitnimi grožnjami uporabnikom svetujemo, da svoj brskalnik Chrome posodobijo na različico 116.0.5845.187/.188 za Windows in 116.0.5845.187 za macOS in Linux. Uporabniki brskalnikov, ki temeljijo na Chromiumu, kot so Microsoft Edge, Brave, Opera in Vivaldi, bi prav tako morali uporabiti popravke, takoj ko so na voljo.

