Разработчики Google выпустили экстренное обновление для Chrome, которое устранило 0-day уязвимость в браузере, уже находившуюся под атаками. Этот баг стал шестой проблемой нулевого дня, исправленной в Chrome в 2023 году.
Уязвимость была обнаружена специалистами Google Threat Analysis Group (TAG) 24 ноября 2023 года и получила идентификатор CVE-2023-6345. Исследователи предупредили, что для нее уже существует эксплоит, который используют злоумышленники.
Сообщается, что проблема связана с целочисленным переполнением в опенсорсной библиотеке Skia, предназначенной для работы с 2D-графикой. Эксплуатация уязвимости может привести как к простым сбоям, так и к выполнению произвольного кода. Более того, Skia используется в качестве движка и в других продуктах, включая ChromeOS, Android и Flutter.
Хотя пока детали обнаруженной уязвимости не раскрываются (компания дает пользователям больше времени на установку обновлений), эксперты Google TAG известны тем, что обнаруживают 0-day баги, используемые в тагретированных шпионских атаках «правительственных» хакеров, которые часто нацелены на журналистов, активистов, оппозиционных политиков и так далее. Можно предположить, что CVE-2023-6345 не станет исключением.
В настоящее время исправленные версии браузера уже развертываются для всех пользователей Chrome для Windows (119.0.6045.199/.200), Mac и Linux (119.0.6045.199).