Google niedawno wydał aktualizacje bezpieczeństwa dla Chrome w celu rozwiązania problemu z podatnością zero-day o wysokim stopniu ryzyka, zidentyfikowaną jako CVE-2023-7024. Ten błąd przepełnienia bufora opartego na stercie, znajdujący się w ramach WebRTC, mógł być wykorzystany do spowodowania awarii programu lub wykonania dowolnego kodu. Błąd odkryli Clément Lecigne i Vlad Stolyarov z Google’s Threat Analysis Group (TAG). Szczegóły dotyczące wady bezpieczeństwa nie zostały ujawnione, aby zapobiec dalszemu nadużyciu, a Google potwierdziło, że “istnieje exploit dla CVE-2023-7024 wykorzystywany w świecie rzeczywistym”.
Oprócz CVE-2023-7024, w 2023 roku odnotowano aktywne wykorzystanie ośmiu innych podatności typu zero-day w Chrome. Łącznie w 2023 roku ujawniono 26 447 podatności, co stanowi wzrost o ponad 1500 CVE w porównaniu z poprzednim rokiem, z czego 115 wad zostało wykorzystanych przez cyberprzestępców i grupy ransomware.
Najczęstszymi typami wykorzystywanych podatności są zdalne wykonanie kodu, obejście zabezpieczeń, manipulowanie buforem, eskalacja uprawnień oraz błędy walidacji i parsowania danych wejściowych. Użytkownikom zaleca się aktualizację do wersji Chrome 120.0.6099.129/130 dla systemu Windows i 120.0.6099.129 dla macOS i Linux, aby złagodzić potencjalne zagrożenia. Użytkownicy przeglądarek opartych na Chromium, takich jak Microsoft Edge, Brave, Opera i Vivaldi, również powinni stosować poprawki, gdy tylko staną się dostępne.
