Уязвимость «нулевого дня» опять грозит пользователям Chrome

Компания Google обнаружила хакеров, использующих новую уязвимость в браузере Chrome, и оценила угрозу как «высокую».

Уязвимость нулевого дня, получившая название CVE-2023-3079, связана с ранее неизвестной уязвимостью в коде Chrome, а это означает, что пользователи, использующие неисправленные версии браузера, подвергаются риску компрометации. «Google известно, что эксплойт для CVE-2023-3079 существует в дикой природе», — предупредила компания в блоге.

Пока что Google мало что рассказал об этой уязвимости. Но Клеман Лесинь, исследователь группы анализа угроз компании, обнаружил угрозу 1 июня, в результате чего Google выпустил экстренное исправление.

На данный момент Google сообщила только, что CVE-2023-3079 относится к уязвимости «путаницы типов» в движке JavaScript V8 для Chrome и других браузеров на основе Chromium, включая Microsoft Edge и Brave. Проблема заключается в том, что движок V8 содержит программную ошибку, из-за которой он игнорирует проверку ресурса, создавая способ доступа к другим процессам в программе, которые обычно должны быть ограничены. Это говорит о том, что хакер мог использовать некоторый код JavaScript, возможно, встроенный в веб-сайт, чтобы вызвать CVE-2023-3079 для выполнения вредоносной функции.

Эта уязвимость является третьим эксплойтом нулевого дня, обнаруженным Google в этом году и нацеленным на пользователей Chrome. В апреле было сообщено о двух других, в том числе о еще одном недостатке путаницы типа с двигателем V8.

Google выпустила исправления для Chrome версии 114.0.5735.106 для Mac и Linux, а затем версии 114.0.5735.110 для Windows. Microsoft также заявляет, что знает об уязвимости и работает над исправлением для Edge. «Хотя мы выпускаем исправление безопасности, стоит подчеркнуть, что функция расширенного режима безопасности Microsoft Edge помогает смягчить эту уязвимость», — добавили в компании.

Что касается Chrome, программа подтолкнет вас к обновлению, показывая кнопку «обновить» в правом верхнем углу браузера, когда новая версия станет доступной. Вы также можете загрузить его вручную, перейдя на вкладку «О Chrome», чтобы автоматически получить обновление, или посетить страницу поддержки Google, чтобы узнать, как загрузить исправления.