Το Google Chrome αντιμετωπίζει σοβαρή ευπάθεια, η οποία έχει γίνει αντικείμενο εκμετάλλευσης, σύμφωνα με την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA).
Το σφάλμα που επηρεάζει τον κώδικα απόδοσης δισδιάστατων γραφικών, γνωστό και ως Skia, έχει προστεθεί στον κατάλογο Γνωστών Ευπαθειών (KEV) της εταιρείας. Η Google δημοσίευσε μια επιδιόρθωση ασφαλείας την Τρίτη για αυτή την προβληματική ροή, η οποία αναγνωρίζεται ως CVE-2023-6345.
Δείτε επίσης: CACTUS ransomware: Χρησιμοποιεί ευπάθειες του Qlik Sense
Η εταιρεία ανέφερε τότε ότι γνώριζε για την εκμετάλλευση του CVE-2023-6345 και των συνεπειών του, αλλά δεν παρείχε περισσότερες λεπτομέρειες. Η συμπερίληψή του στον κατάλογο KEV επιβεβαιώνει την αξιολόγηση από την CISA. Οι μη στρατιωτικές ομοσπονδιακές υπηρεσίες έχουν προθεσμία μέχρι τις 21 Δεκεμβρίου για να αντιμετωπίσουν τυχόν επηρεαζόμενα συστήματα που ενδέχεται να έχουν το συγκεκριμένο σφάλμα.
Το DOJ κατηγορεί Κινέζο για spear phishing κατά της NASA
James Webb Telescope: Μαύρη τρύπα "σκοτώνει" το γαλαξία της
Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη
Το σφάλμα αναφέρθηκε αρχικά στις 24 Νοεμβρίου από ερευνητές του Threat Analysis Group της Google, σύμφωνα με την εταιρεία. Η βιβλιοθήκη κώδικα Skia διαχειρίζεται και χορηγείται από την Google, αλλά πρόκειται για ένα έργο ανοιχτού κώδικα που είναι διαθέσιμο για άλλους προγραμματιστές.
Οι ευάλωτες πτυχές του Chrome αναδεικνύονται περιοδικά σε μια σοβαρότητα που καθοδηγεί τη Google να κυκλοφορεί άμεσα μια ενημέρωση κώδικα, αντί να περιμένει την επόμενη κανονική διαδικασία ενημέρωσης. Πρόσφατα, για παράδειγμα, η εταιρεία έκανε διαθέσιμες ειδικές διορθώσεις για ένα σφάλμα σε ένα εργαλείο ανοιχτού κώδικα γνωστό ως libvpx, το οποίο χρησιμοποιείται για την κωδικοποίηση βίντεο.
Οι ειδικοί συνιστούν στους οργανισμούς να εξασφαλίσουν ότι οι χρήστες χρησιμοποιούν τις πιο πρόσφατες εκδόσεις όχι μόνο του Chrome, αλλά και άλλων προγραμμάτων περιήγησης που βασίζονται στον ίδιο βασικό κώδικα, όπως το Microsoft Edge.
Παρά την προσοχή που είχε δοθεί από τους μηχανικούς της Google, συνεχίζουμε να αντιμετωπίζουμε μια σταθερή ροή θεμάτων ασφαλείας που είναι εκμεταλλεύσιμα. Αυτά περιλαμβάνουν τα zero-days που πραγματικά χρησιμοποιούνται από κακόβουλα λογισμικά, όπως ανέφερε ο Lionel Litty, επικεφαλής αρχιτέκτονας ασφαλείας στο Menlo Security.
Καθώς το λογισμικό όπως το Chrome γίνεται όλο και πιο περίπλοκο, αυξάνεται επίσης η πιθανότητα να παρουσιαστούν σφάλματα, σύμφωνα με τους ειδικούς.
Διαβάστε περισσότερα: Η Google διορθώνει νέα zero-day ευπάθεια στον Chrome
Η ευρεία χρήση του Chrome τον καθιστά επίσης ελκυστικό για «εξελιγμένους χάκερ, συμπεριλαμβανομένων εκείνων που υποστηρίζονται από κρατικούς χορηγούς», σύμφωνα με τον Saeed Abbasi, διευθυντή έρευνας ευπάθειας και απειλών στην Qualys.
Η CISA κατέγραψε επίσης ένα πρόσφατο σφάλμα στο λογισμικό ανοιχτού κώδικα ownCloud, το οποίο αναφέρθηκε στην λίστα KEV.
Πηγή: therecord.media