Google выпускает экстренное обновление для браузера Chrome после обнаружения критической уязвимости
Уязвимость в браузере Google Chrome до версии 119.0.6045.199 описывается как переполнение целого числа в библиотеке Skia и отслеживается как CVE-2023-6345. Она позволяет удаленному злоумышленнику, скомпрометировавшему процесс рендеринга, потенциально выполнить выход из изолированной среды с помощью вредоносного файла. Skia - это библиотека 2D-графики с открытым исходным кодом, которая обеспечивает рендеринг веб-страниц в Google Chrome
Об уязвимости сообщили Бенуа Севенс и Клеман Лесинь из группы анализа угроз Google. Выпущенное обновление Chrome также включает исправления для шести других уязвимостей высокой степени серьезности, о некоторых из которых сообщалось в рамках программы «Вознаграждения за обнаруженные уязвимости в Chrome».
Пользователям, в том числе организациям, настоятельно рекомендуется убедиться, что они используют последнюю версию Chrome, будь то Windows, Mac или Linux, поскольку уязвимость затрагивает все версии ОС. Пользователям, у которых в Chrome не настроено автоматическое обновление, следует обновить свои установки вручную.
«Организации должны сосредоточиться на том, чтобы их парк браузеров был современным и хорошо управляемым», — сказал Лайонел Литти, главный архитектор безопасности компании Menlo Security Inc., занимающейся безопасностью браузеров. «Обучайте пользователей и советуйте им регулярно перезапускать Chrome, чтобы они получали последние обновления. Проверьте, какие версии Chrome вы видите в своей среде».
Саид Аббаси, менеджер по исследованию уязвимостей и угроз в компании Qualys Inc., занимающейся облачными информационными технологиями и безопасностью, предупреждает, что Chrome стал главной мишенью для злоумышленников из-за его широкого использования и интеграции в личную и профессиональную сферу, предоставляя доступ к огромному количеству конфиденциальной информации.
«Несмотря на строгие меры безопасности, сложная кодовая база браузера может привести к появлению уязвимостей», — сказал Аббаси. «Кроме того, высокая коммерческая ценность широко используемой платформы, такой как Chrome, привлекает опытных злоумышленников, в том числе тех, которые поддерживаются государственными спонсорами. Организациям следует уделять приоритетное внимание регулярным обновлениям и управлению исправлениями, чтобы поддерживать браузеры в актуальном состоянии».
Аббаси также добавил, что обучение сотрудников имеет важное значение для повышения осведомленности об опасностях устаревших браузеров, и предположил, что внедрение сегментации сети может ограничить доступ браузеров к конфиденциальным данным, уменьшая тем самым последствия взлома.
