Компания Google выпустила исправление ранее неизвестной уязвимости, получившей обозначение CVE-2023-2033. В пятницу компания опубликовала уведомление о безопасности с предупреждением: «Google известно, что эксплойт для CVE-2023-2033 существует в реальном мире».
Google предупредила, что хакеры активно используют серьезную уязвимость «нулевого дня» в программном обеспечении для атаки на пользователей. На данный момент Google описывает это как недостаток, связанный с «путаницей типов» в движке JavaScript V8 для браузера.
Ошибка типов обычно связана с тем, что программное обеспечение не может проверить ресурс, открывая способ доступа к другим процессам в программе. Это может включать в себя чтение или запись памяти вне обычных границ в коде программы. Следовательно, уязвимость может быть особенно значимой, особенно потому, что она связана с JavaScript, который широко распространен на веб-страницах. В прошлом хакеры использовали ошибки путаницы типов, чтобы запускать вредоносный код на компьютерах, иногда через веб-сайт или ссылку.
Google обнаружил ошибку благодаря Клеману Лесину (Clément Lecigne), исследователя безопасности из группы анализа угроз компании, которая занимается отслеживанием элитных хакеров и обнаружением уязвимостей нулевого дня.
Патч компании поставляется в версии Chrome 112.0.5615.121. В правом верхнем углу браузера должна появиться кнопка для обновления Chrome. В противном случае перейдите на вкладку «О Chrome», чтобы автоматически получить обновление, или посетите страницу поддержки Google (откроется в новом окне), чтобы узнать, как загрузить исправления. CVE-2023-2033 — первая уязвимость нулевого дня, обнаруженная в Chrome в этом году.