Da li ste ažurirali Google Chrome?

October 30, 2023•2 minute read

Google je objavio popravke kako bi riješio novu aktivno zloupotrebljavanu zero-day ranjivost u Chrome pretraživaču poznatiju kao CVE-2023-5217.

Zloupotreba ovakvih ranjivosti može rezultirati padom programa ili izvršenjem arbitrarnog koda, što utiče na njegovu dostupnost i integritet.

Clément Lecigne iz Google-ove Grupe za analizu prijetnji (TAG) dobio je zasluge za otkrivanje i prijavljivanje ovog nedostatka 25. septembra 2023. godine, a koleginica istraživača Maddie Stone napomenula je na X (ranije Twitteru) da je zloupotrebljavao komercijalni špijunski softver kako bi ciljao visokorizične pojedince.

Tehnički gigant nije otkrio dodatne detalje osim što je potvrdio da je “svjestan da postoji eksploatacija za CVE-2023-5217 onlajn.”

Najnovije otkriće je peta zero-day ranjivost u Google Chrome za koje su ove godine objavljene zakrpe:

CVE-2023-2033 
CVE-2023-2136  
CVE-2023-3079   
CVE-2023-4863

Sumnja se da je i izraelski proizvođač špijunskog softvera Cytrox možda iskoristio ranije popravljenu ranjivost u Chromeu (CVE-2023-4762) kao zero-day za isporuku Predatora, mada trenutno postoji vrlo malo informacija o napadima.

Ovo se dešava dok je Google dodijelio novi CVE identifikator, CVE-2023-5129, kritičnoj ranjivosti u biblioteci slika libwebp, koja se prvobitno pratila kao CVE-2023-4863, a koja je bila aktivno izložena opasnostima, uzimajući u obzir njenu široku površinu napada.

Korisnicima se preporučuje da ažuriraju Chrome na verziju 117.0.5938.132 za Windows, macOS i Linux kako bi umanjili potencijalne prijetnje. Takođe se savjetuje korisnicima pretraživača zasnovanih na Chromiumu, kao što su Microsoft Edge, Brave, Opera i Vivaldi, da izvrše ažuriranje pretraživača kada budu dostupno.

Ažuriranje

Mozilla je u objavila Firefox ažuriranja za rješavanje CVE-2023-5217. Ovaj problem je rešen u verzijama Firefox 118.0.1, Firefox ESR 115.3.1, Firefox Focus za Android 118.1 i Firefox za Android 118.1.

Microsoft je 2. oktobra 2023. godine objavio ažuriranja za rešavanje CVE-2023-4863 i CVE-2023-5217, priznajući da postoje eksploatacije za obje ranjivosti. Međutim, nije otkrio da li su njegovi proizvodi kao što su Edge, Skype i Teams bili pogođeni.