Xakep #305. Многошаговые SQL-инъекции
Инженеры компании Google выпустили экстренные патчи, чтобы исправить четвертую в этом году 0-day уязвимость в браузере Chrome. Проблема уже находится под атаками и связана с переполнением буфера хипа WebP.
Уязвимость получила идентификатор CVE-2023-4863, и последствия ее эксплуатации могут варьироваться от сбоев до удаленного выполнения произвольного кода. Пользователям Chrome рекомендуется как можно скорее обновить браузер до версий 116.0.5845.187 (Mac и Linux) и 116.0.5845.187/.188 (Windows), в которых проблема уже устранена.
Сообщается, что эту ошибку еще на прошлой неделе обнаружили специалисты Apple Security Engineering and Architecture (SEAR) и Citizen Lab.
Хотя Google подтверждает, что уязвимость CVE-2023-4863 уже использовалась в реальных атаках, пока компания не поделилась деталями этих инцидентов. В компании традиционно дают пользователям больше времени на установку патчей:
«Доступ к сведениям об уязвимостях и ссылкам может быть ограничен до тех пор, пока большинство пользователей не установят исправление. Мы также сохраним ограничения, если ошибка присутствует в сторонней библиотеке, от которой аналогичным образом зависят другие проекты, но она еще не исправлена», — гласит стандартное сообщение компании для таких случаев.