Zaktualizuj Chrome’a: Google wydał łatkę na aktywnie wykorzystywane podatności zero-day

Google w środę wprowadziło poprawki mające zlikwidować nową podatność zero-day, która jest aktywnie wykorzystywana w przeglądarkach Chrome.

Podatność oznaczona jako CVE-2023-5217, z wysokim stopniem zagrożenia, została opisana jako przepełnienie buforu opartego na stercie w formacie kompresji VP8 w bibliotece libvpx, będącej darmowym oprogramowaniem do kompresji wideo od Google i Alliance for Open Media (AOMedia).

Wykorzystanie takich podatności w przepełnieniach buforów może skutkować awariami programu lub wykonaniem dowolnego kodu, co wpływa na dostępność i integralność systemu.

Clément Lecigne z Google Threat Analysis Group (TAG) został wyróżniony za odkrycie i zgłoszenie podatności 25 września 2023 roku. Wspólnie z innym badaczem, Maddie Stone, zauważyli na platformie X (dawniej Twitter), że została ona wykorzystana przez sprzedawcę komercyjnego oprogramowania szpiegowskiego do atakowania osób wysokiego ryzyka.

Firma nie podała dodatkowych szczegółów poza potwierdzeniem, że „świadoma jest istnienia eksploitów dla CVE-2023-5217 w środowisku zewnętrznym”.

Użytkownikom zaleca się aktualizację do wersji Chrome 117.0.5938.132 dla systemów Windows, macOS i Linux, aby zminimalizować potencjalne zagrożenia. Korzystający z przeglądarek opartych na Chromium, takich jak Microsoft Edge, Brave, Opera czy Vivaldi, powinni zastosować poprawki, gdy tylko staną się one dostępne.