Google je objavio hitna ažuriranja kako bi riješio novu ranjivost nultog dana, praćenu kao CVE-2023-7024, u svom web pretraživaču Chrome.
Greška je otklonjena izdavanjem verzije 120.0.6099.129 za Mac, Linux i 120.0.6099.129/130 za Windows koja će se pojaviti u narednim danima/sedmicama.
Ranjivost je problem prekoračenja bafera hrpe (Heap buffer overflow) u WebRTC-u. Grešku su prijavili Clément Lecigne i Vlad Stolyarov iz Google-ove grupe za analizu prijetnji 19. 12. 2023. i otklonjen je u samo jednom danu.
“CVE-2023-7024: Heap buffer overflow u WebRTC-u. Izvještavaju Clément Lecigne i Vlad Stolyarov iz Google-ove grupe za analizu prijetnji 2023-12-19”, stoji u savjetu koji je objavio IT gigant. “Google je svjestan da eksploatacija za CVE-2023-7024 postoji u javnosti.”
Činjenica da je problem otkrio Google TAG sugeriše da ga je iskoristio haker nacionalne države ili kompanija za nadzor.
Kao i obično, Google nije objavio detalje o napadima koji su iskorištavali nedostatak u javnosti.
„Pristup detaljima o greškama i vezama može biti ograničen sve dok većina korisnika ne bude ažurirana s ispravkom. Takođe ćemo zadržati ograničenja ako greška postoji u biblioteci treće strane o kojoj na sličan način zavise i drugi projekti, ali još uvijek nije ispravljena.” nastavlja se u savjetu.
Ova ranjivost je osmi problem koji je Google zakrpio od početka godine.
Ispod je lista aktivno iskorištavanih ranjivosti nultog dana u Chromeu kojima se Google bavio ove godine:
CVE-2023-6345 je šesta aktivno iskorištavana ranjivost nultog dana u Chromeu koju je Google riješio ove godine, a ostale su:
- CVE-2023-2033 – Type Confusion in V8
- CVE-2023-2136 – Prekoračenje cijelog broja u Skia grafici
- CVE-2023-3079 – Type Confusion in V8
- CVE-2023-4863 – Heap buffer overflow u WebP
- CVE-2023-5217 – Heap buffer overflow u vp8 kodiranju u libvpx
- CVE-2023-6345 – Prekoračenje cijelog broja u Skia grafici
- CVE-2023-4762 – Type Confusion in V8
Izvor: Security affairs