Μία κρίσιμη αναβάθμιση ασφαλείας είναι τώρα διαθέσιμη σε ορισμένους χρήστες του Chrome σε Mac, Linux και Windows, που επισκευάζει μια ευπάθεια μηδενικής ημέρας που μπορεί να καθιστά τα συστήματα ευάλωτα σε κλοπή δεδομένων και άλλες κυβερνοεπιθέσεις. Την Τρίτη, η Google επιβεβαίωσε σε μια ενημέρωση του Chrome στο σταθερό κανάλι ότι “είναι ενήμερη ότι ένα exploit για το CVE-2023-6345 υπάρχει στον πραγματικό κόσμο.” Η ευπάθεια ανακαλύφθηκε στις 24 Νοεμβρίου από δύο ερευνητές ασφαλείας που εργάζονταν στην Ομάδα Ανάλυσης Απειλών (TAG) της Google.
Η Google δεν έχει αποκαλύψει πολλές λεπτομέρειες για το exploit CVE-2023-6345 ακόμα, αλλά αυτό αναμένεται. Όπως επισημαίνει το Android Central, η Google, όπως και πολλές τεχνολογικές εταιρείες, συχνά επιλέγει να διατηρήσει τις πληροφορίες σχετικά με τις ευπάθειες κρυφές μέχρις ότου έχουν επιλυθεί ευρέως, διότι λεπτομερείς πληροφορίες μπορούν να διευκολύνουν τους επιτιθέμενους να εκμεταλλευτούν μη προστατευμένους χρήστες του Chrome. Δεν είναι σαφές πόσο καιρό η ευπάθεια εκμεταλλευόταν ενεργά πριν από την ανακάλυψή της την προηγούμενη εβδομάδα.
Αυτό που γνωρίζουμε είναι ότι το CVE-2023-6345 είναι μια αδυναμία ανωφέρου ακεραιτού που επηρεάζει το Skia, την ανοικτού κώδικα βιβλιοθήκη γραφικών 2D εντός της μηχανής γραφικών του Chrome. Σύμφωνα με σημειώσεις στην ενημέρωση του Chrome, το exploit επέτρεψε τουλάχιστον σε έναν επιτιθέμενο να “εκτελέσει πιθανώς απόδραση από τον χώρο ασφαλείας μέσω ενός κακόβουλου αρχείου.” Οι αποδράσεις από τον χώρο ασφαλείας μπορούν να χρησιμοποιηθούν για να μολυνθούν ευπαθή συστήματα με κακόβουλο κώδικα και να κλαπεί ευαίσθητα δεδομένα χρήστη.
Εάν έχετε ήδη ρυθμισμένο τον περιηγητή Chrome σας να ενημερώνεται αυτόματα, τότε ενδεχομένως δεν χρειάζεται να κάνετε κάποια ενέργεια. Για όσους δεν έχουν αυτόματη ενημέρωση, αξίζει να ενημερώσουν χειροκίνητα στην τελευταία έκδοση (119.0.6045.199 για Mac και Linux και 119.0.6045.199/.200 για Windows) μέσω των ρυθμίσεων του Google Chrome, για να αποφύγουν τον κίνδυνο εκθέσεως του συστήματός τους. Η Google δηλώνει ότι η επιδιόρθωση θα γίνει διαθέσιμη “τις επόμενες ημέρες/εβδομάδες,” οπότε μπορεί να μην είναι αμέσως διαθέσιμη σε όλους κατά την στιγμή αυτή.