Разработчики Google обновили браузер Chrome, исправив серьезную уязвимость, которая уже использовалась хакерами.
Проблема получила идентификатор CVE-2023-3079, и в компании сообщают, что для нее существует работающий эксплоит.
Уязвимость, обнаруженная специалистами Google Threat Analysis Group (TAG) в начале июня, описывается как баг типа type confusion в JavaScript-движке V8.
«Уязвимость type confusion в [движке] V8 в Google Chrome 114.0.5735.110 и более старых версий позволяла удаленному злоумышленнику использовать повреждение кучи через специально подготовленную HTML-страницу», — гласит описание проблемы в базе уязвимостей NIST.
Пользователям рекомендуется как можно скорее обновить свои браузеры до версии 114.0.5735.110 для Windows и 114.0.5735.106 для macOS и Linux.
Хотя Google заявляет, что уязвимость уже эксплуатировали хакеры, пока компания не сообщает никаких технических подробностей об этих инцидентах. В Google традиционно пишут, что «доступ к сведениям об ошибках и ссылкам может быть ограничен до тех пор, пока большинство пользователей не получат исправление».
Это уже третья 0-day уязвимость, обнаруженная и исправленная в Chrome в 2023 году. Ранее в браузере была устранена еще одна проблема type confusion в движке V8 (CVE-2023-2033, 8,8 балла по шкале CVSS), а также баг, связанный с целочисленным переполнением в Skia (CVE-2023-2136, 9,6 балла по шкале CVSS).
