Корпорация Google экстренно обновила браузер Chrome до версии 112.0.5615.137. Обновление устраняет уязвимость нулевого дня CVE-2023-2136, выявленную в графической библиотеке Skia. Уязвимость была выявлена исследователем Google Threat Analysis Group Клеманом Лесинем и затрагивает графическую библиотеку Skia. Это уже вторая уязвимость нулевого дня в Chrome, обнаруженная с начала года.

Известно, что уязвимость уже эксплуатируется в реальных атаках. Подробности, как и обычно в таких случаях, не приводятся до тех пор, пока большинство пользователей не обновит свое программное обеспечение. Однако предположительно злоумышленники с помощью специально созданной HTML страницы могут спровоцировать так называемое целочисленное переполнение. В результате возможен выход процесса за пределы «песочницы» с дальнейшим исполнением произвольного кода.

Как правило, первыми эксплуатацию таких уязвимостей берут на вооружение весьма искушенные хакеры, нередко действующие при поддержке правительственных структур. Соответственно, и целями атак становятся в первую очередь политические деятели, дипломаты, журналисты и сотрудники компаний и организаций, относящихся к критической инфраструктуре. Тем не менее, всем пользователям рекомендовано незамедлительно обновить браузер Chrome до последней версии. Задача, впрочем, облегчается тем, что браузер автоматически устанавливает обновления при каждом новом запуске, и все, что потребуется от пользователя – перезагрузить программу для завершения установки. Однако пока все это касается лишь пользователей Chrome для Windows и Mac: обновление для Linux еще не выпущено и ожидается в ближайшее время.