Google выпустила экстренные патчи для устранения очередной 0-day уязвимости в браузере Chrome. Известно, что этот баг уже находился под атаками и стал восьмой уязвимостью нулевого дня в Chrome в этом году.
Уязвимостью, получившую идентификатор CVE-2023-7024, обнаружили собственные эксперты Google Threat Analysis Group (TAG).
Все, что пока известно о CVE-2023-7024, это тот факт, что уязвимость связана с переполнением буфера хипа и опенсорсным фреймворком WebRTC. Он используется и во многих других браузерах, включая Mozilla Firefox, Safari и Microsoft Edge, для обеспечения связи в режиме реального времени (Real-Time Communications), например, для работы потокового видео, обмена файлами и VoIP-телефонии через API JavaScript.
Хотя пока детали обнаруженной проблемы не раскрываются (компания дает пользователям больше времени на установку обновлений), эксперты Google TAG известны тем, что находят 0-day баги, используемые в направленных шпионских атаках «правительственных» хакеров, которые часто нацелены на журналистов, активистов, оппозиционных политиков и так далее.
0-day уже исправлен в канале Stable Desktop, и исправленные версии браузера распространяются по всему миру для пользователей Windows (120.0.6099.129/130), а также пользователей macOS и Linux (120.0.6099.129).
Как уже было сказано выше, это далеко не первая уязвимость нулевого дня в Chrome, исправленная в 2023 году. Ранее разработчики Google устранили в браузере следующие проблемы, уже находившиеся под атаками: CVE-2023-6345, CVE-2023-5217, CVE-2023-4863, CVE-2023-3079, CVE-2023-4762, CVE-2023-2136 и CVE-2023-2033.
Стоит отметить, что многие из них (например, CVE-2023-4762) были помечены как ошибки, используемые для развертывания шпионского ПО, всего через несколько недель после выхода патчей.
