Google je u ponedjeljak objavio sigurnosna ažuriranja kako bi zakrpio ozbiljnu grešku u svom Chrome web pretraživaču za koji je rekao da se aktivno iskorištava u praksi.
Praćena kao CVE-2023-3079, ranjivost je opisana kao greška zabune tipa u V8 JavaScript engine-u. Clement Lecigne iz Google-ove grupe za analizu pretnji (TAG) je zaslužan za prijavu ovog problema 1. juna 2023. godine.
“Zabuna u kucanju u V8 engine-u u Google Chrome-u prije 114.0.5735.110 omogućila je udaljenom napadaču da potencijalno iskoristi oštećenje hrpe putem kreirane HTML stranice” prema NIST-ovoj nacionalnoj bazi podataka o ranjivosti (NVD).
Tehnološki gigant, kao što je to obično slučaj, nije otkrio detalje o prirodi napada, ali je napomenuo da je “svjestan da eksploatacija za CVE-2023-3079 postoji u praksi”.
Sa najnovijim razvojem, Google se pozabavio sa ukupno tri aktivne iskorištavane Zero Day greške u Chrome-u od početka godine:
- CVE-2023-2033 (CVSS rezultat: 8,8) – Tip Confusion u V8
- CVE-2023-2136 (CVSS rezultat: 9,6) – Prelivanje integer-a u Skia
Korisnicima se preporučuje nadogradnja na verziju 114.0.5735.110 za Windows i 114.0.5735.106 za macOS i Linux kako bi ublažili potencijalne pretnje. Korisnicima pretraživača zasnovanih na Chromium-u, kao što su Microsoft Edge, Brave, Opera i Vivaldi, takođe se savetuje da primene popravke čim postanu dostupne.
Izvor: The Hacker News