Компания Google выпустила еще одно обновление для браузера Chrome, устранив у нем уже вторую уязвимость нулевого дня за последние семь дней. Сообщается, что для свежей проблемы уже существует эксплоит, и ее использовали хакеры.
Новая 0-day проблема получила идентификатор CVE-2023-2136 и была исправлена в версии 112.0.5615.137, которая в общей сложности устранила восемь уязвимостей. Пока стабильный релиз доступен только для пользователей Windows и Mac, а версия для Linux будет выпущена «скоро» (точных сроков в Google не называют).
Известно, что CVE-2023-2136 обнаружили эксперты Google Threat Analysis Group (TAG) в начале текущего месяца. Проблема связана с целочисленным переполнением в Skia, принадлежащей Google мультиплатформенной библиотеке 2D-графики с открытым исходным кодом, написанной на C++. Skia предоставляет Chrome набор API-интерфейсов для рендеринга графики, текста, фигур, изображений и анимации и считается ключевым компонентом для рендеринга.
Уязвимость в контексте Skia может привести к неправильному рендерингу, повреждению информации в памяти и выполнению произвольного кода, что в итоге предоставит злоумышленнику доступу к системе.
Как обычно, Google не раскрывает никаких деталей об уязвимостях, находящихся под атаками, давая возможность пользователям обновить браузер до безопасной версии, прежде чем злоумышленники смогут создать собственные эксплоиты для нового бага.
Напомню, что в конце прошлой недели Google уже исправила в своем браузере 0-day уязвимость CVE-2023-2033, которая описывалась как проблема типа type confusion в движке JavaScript V8. Это была первая проблема нулевого дня, выявленная в браузере в 2023 году.
