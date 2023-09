Google ka lëshuar një përditësim sigurie jashtë brezit për të rregulluar një cenueshmëri kritike në shfletuesin e saj të internetit Chrome. E meta, e njohur si CVE-2023-4863, përfshin një tejmbushje të buferit të grumbullit që ndikon në formatin e imazhit WebP. Kjo dobësi mund të çojë potencialisht në ekzekutim arbitrar të kodit ose rrëzime.

Zbulimi i cenueshmërisë iu besua Apple Security Engineering and Architecture (SEAR) dhe The Citizen Lab në Shkollën Munk të Universitetit të Torontos. Detajet specifike të shfrytëzimit nuk janë bërë të ditura, por Google ka pranuar se një shfrytëzim për CVE-2023-4863 është vërejtur në natyrë.

Ky rregullim i fundit është pjesë e përpjekjeve të vazhdueshme të Google për të adresuar dobësitë e ditës zero në Chrome. Që nga fillimi i vitit, kompania ka rregulluar tashmë katër dobësi të tilla.

Përveç patch-it të Google, Apple ka zgjeruar gjithashtu rregullimet e tij për të adresuar CVE-2023-41064, një tjetër dobësi që lidhet me përpunimin e imazhit. Kjo dobësi është një problem i tejmbushjes së buferit në komponentin I/O Imazh, i cili mund të çojë në ekzekutim arbitrar të kodit. Ai u përdor së bashku me CVE-2023-41061 në një zinxhir shfrytëzimi të iMessage me zero klikim të quajtur BLASTPASS për të vendosur softuerin spiun Pegasus në iPhone të plotësuar me versionin iOS 16.6.

Ngjashmëritë midis CVE-2023-41064 dhe CVE-2023-4863, të dyja të lidhura me përpunimin e imazhit dhe të raportuara nga Apple dhe The Citizen Lab, sugjerojnë një lidhje të mundshme midis dy dobësive.

Për t'u mbrojtur nga kërcënimet e mundshme, përdoruesit këshillohen të përditësojnë shfletuesin e tyre Chrome në versionin 116.0.5845.187/.188 për Windows dhe 116.0.5845.187 për macOS dhe Linux. Përdoruesit e shfletuesve të bazuar në Chromium, si Microsoft Edge, Brave, Opera dhe Vivaldi, duhet të aplikojnë gjithashtu arnimet sapo të jenë të disponueshme.

