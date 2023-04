W piątek przeglądarka Google Chrome otrzymała niezwykle ważną aktualizację, o której wadze najlepiej świadczy fakt wydania jej poza głównym cyklem rozwoju.

Google Chrome zazwyczaj rozwijany jest w narzuconych z góry cyklach, przez co należy rozumieć, że daty premier kolejnych wersji są ustalone z wielomiesięcznym wyprzedzeniem. Ale niniejszy przypadek to coś szczególnego.

Wersja numer 112.0.5615.121 dla Windowsa, Linuksa oraz macOS wydana została poza narzuconym harmonogramem, a jest to efekt poważnego błędu bezpieczeństwa, jaki odnaleziono i załatano w przeglądarce. Mowa o podatności śledzonej jako CVE-2023-2033.

Problem 11 kwietnia 2023 roku zaraportował Clement Lecigne, badacz należący do Google Threat Analysis Group. Firma wprawdzie nie podaje szczegółów, chcąc zapewne uniknąć wykorzystania rzeczonej podatności przez przestępców, ale ogromny animusz towarzyszący wydaniu łatki mówi niejako sam za siebie.

Wiemy, że zagrożenie dotyczy silnika JavaScript V8 i otwiera możliwość zapisu i odczytu z pamięci poza granicami bufora poprzez niezgodność typów. Mówiąc prościej, pozwala bez wiedzy użytkownika wykonać szkodliwy kod.

Przy czym, z uwagi na naturę tej luki, prawdopodobnie analogiczna podatność znajduje się w innych przeglądarkach opartych na Chromium, a więc m.in. Microsoft Edge, Brave, Opera i Vivaldi.

Serwis „The Hacker News” zauważa ponadto, że istnieje duże podobieństwo między CVE-2023-2033, a załatanymi w minionym roku CVE-2022-1096 , CVE-2022-1364 , CVE-2022-3723 i CVE-2022-4262. Również wynikającymi z bibliotek JS.

W każdym razie nie ma powodów, by czekać na dalszy rozwój wydarzeń. Sprawa jest prosta: korzystasz na swym komputerze z Google Chrome, to nie czekaj i go natychmiast zaktualizuj. Tak też zaleca sam Google.

Źródło zdjęć: Evan Lorne / Shutterstock

Źródło tekstu: The Hacker News, oprac. własne