Google har udgivet en nødsikkerhedsopdatering til Chrome for at løse den første nul-dages sårbarhed, der er udnyttet i angreb siden starten af året. Vi anbefaler samtlige kundetyper at opdateres straks.
“Google er klar over, at en udnyttelse for CVE-2023-2033 eksisterer i naturen,”
sagde søgegiganten i en sikkerhedsrådgivning, der blev offentliggjort fredag.
Dette betyder at sikkerhedshullet udnyttes aktivt formentligt både til ransomware hackere, hackere og spionsoftware.
Den nye version ruller ud til brugere i Stable Desktop-kanalen, og den vil nå ud til hele brugerbasen i løbet af de kommende dage eller uger.
Chrome-brugere bør opgradere til version 112.0.5615.121 så hurtigt som muligt, da det løser CVE-2023-2033-sårbarheden på Windows-, Mac- og Linux-systemer.
Selvom de siger dage og uger havde vi ikke nogle problemer da vi opdaterede Chrome på vores iMac’s,
Man kan søge efter nye opdateringer fra Chrome-menuen > Hjælp > Om Google Chrome.
Webbrowseren vil også automatisk søge efter nye opdateringer og installere dem uden at kræve brugerinteraktion efter en genstart.
Angrebsdetaljer endnu ikke afsløret
Den høje sværhedsgrad nul-dages sårbarhed (CVE-2023-2033) skyldes en høj sværhedsgrads type forvirring svaghed i Chrome V8 JavaScript-motoren.
Fejlen blev oprindeligt rapporteret af Clement Lecigne fra Googles Threat Analysis Group (TAG), hvis primære mål er at forsvare Google-kunder mod statsstøttede angreb. Vi kunne jo godt tænke os at vide hvordan det kan lade sig gøre og nuldagssårbarheder er samtlige hackere og Ransomware baner jo meget interesseret i.
Google TAG opdager og rapporterer ofte zero-day-fejl, der udnyttes i meget målrettede angreb fra statsstøttede trusselsaktører, der sigter mod at installere spyware på enheder tilhørende højrisikopersoner, herunder journalister, oppositionspolitikere og dissidenter over hele verden.
Selvom typeforvirringsfejl generelt ville give angribere mulighed for at udløse browsernedbrud efter vellykket udnyttelse ved at læse eller skrive hukommelse uden for buffergrænser, trusselsaktører kan også udnytte dem til vilkårlig kodeudførelse på kompromitterede enheder.
Mens Google sagde, at det kender til CVE-2023-2033 nul-dages udnyttelser, der bruges i angreb, har virksomheden endnu ikke delt yderligere oplysninger om disse hændelser.
“Adgang til fejloplysninger og links kan holdes begrænset, indtil et flertal af brugerne er opdateret med en rettelse,”
“Vi vil også bevare begrænsninger, hvis fejlen findes i et tredjepartsbibliotek, som andre projekter på samme måde er afhængige af, men endnu ikke har rettet.”
sagde Google.
Dette giver Google Chrome-brugere mulighed for at opgradere deres browsere og blokere angrebsforsøg, indtil tekniske detaljer frigives, hvilket giver flere trusselsaktører mulighed for at udvikle deres egne udnyttelser.
Så indtil videre må vi nøjes med at spekulere i hvad fejlen kan være.
Kilde: ICARE SECURITY A/S, Google
Fotokredit: Google