Η Google κυκλοφόρησε έκτακτες ενημερώσεις για να διορθώσει μια νέα zero-day ευπάθεια στον Chrome browser που χρησιμοποιείται σε επιθέσεις. Είναι η όγδοη ευπάθεια zero-day για φέτος.
Η εταιρεία διόρθωσε το σφάλμα CVE-2023-7024 για τους χρήστες στο Stable Desktop channel, με τις ενημερωμένες εκδόσεις να κυκλοφορούν παγκοσμίως σε χρήστες Windows (120.0.6099.129/130) και χρήστες Mac και Linux (120.0.6099.129) μία ημέρα μετά την αναφορά στην Google.
Το σφάλμα ανακαλύφθηκε από τους Clément Lecigne και Vlad Stolyarov της Ομάδας Ανάλυσης Απειλών (TAG) της εταιρείας. Η Ομάδα Ανάλυσης Απειλών (TAG) της Google ανακαλύπτει συχνά zero-day ευπάθειες που χρησιμοποιούνται σε στοχευμένες επιθέσεις για την ανάπτυξη spyware σε συσκευές ατόμων υψηλού κινδύνου.
Δείτε επίσης: F5 BIG-IP: Ψεύτικες προειδοποιήσεις zero-day προωθούν data wipers
Η έκτακτη ενημέρωση ασφαλείας μπορεί να χρειαστεί μερικές ημέρες μέχρι να φτάσει σε όλους τους χρήστες. Ο Chrome browser ελέγχει αυτόματα για νέες ενημερώσεις και τις εγκαθιστά κατά την επόμενη εκκίνηση. Ωστόσο, οι χρήστες μπορούν να εγκαταστήσουν την ενημέρωση και manually.
Η Google διορθώνει την όγδοη zero-day ευπάθεια στο Chrome για φέτος
Η νέα zero-day ευπάθεια οφείλεται σε “heap buffer overflow weakness” στο open-source WebRTC framework.
Ενώ η Google γνωρίζει ότι το CVE-2023-7024 χρησιμοποιήθηκε σε επιθέσεις, δεν έχει ακόμη κοινοποιήσει περαιτέρω λεπτομέρειες σχετικά με αυτά τα περιστατικά.
“Η πρόσβαση σε λεπτομέρειες σφαλμάτων και συνδέσμους μπορεί να παραμείνει περιορισμένη έως ότου η πλειοψηφία των χρηστών λάβει μια επιδιόρθωση“, δήλωσε η εταιρεία. “Θα διατηρήσουμε επίσης περιορισμούς εάν το σφάλμα υπάρχει σε μια βιβλιοθήκη τρίτου μέρους, από την οποία εξαρτώνται παρομοίως άλλα projects χωρίς να έχουν ακόμη επιδιορθωθεί“.
Με τη δημοσίευση ελάχιστων λεπτομερειών μειώνεται η πιθανότητα δημιουργίας νέων exploits για το CVE-2023-7024 από εγκληματίες του κυβερνοχώρου.
Δείτε επίσης: Η Apple διορθώνει zero-day ευπάθειες σε παλιότερα iPhones
Προηγουμένως, η Google διόρθωσε επτά άλλες zero-day ευπάθειες που χρησιμοποιήθηκαν σε επιθέσεις, οι οποίες παρακολουθούνταν ως CVE-2023-6345, CVE-2023-5217, CVE-2023-4863, CVE-2023-3079, CVE-2023-4762, CVE-23 και CVE-2023-2033.
Ορισμένες από αυτές, όπως η CVE-2023-4762, επισημάνθηκαν ως σφάλματα zero-day που χρησιμοποιήθηκαν για την ανάπτυξη spyware.
Οι zero-day ευπάθειες μπορούν να έχουν σοβαρές επιπτώσεις για τους χρήστες. Οι κακόβουλοι χρήστες μπορούν να εκμεταλλευτούν αυτές τις ευπάθειες για να αποκτήσουν πρόσβαση στις συσκευές των χρηστών και να προκαλέσουν ζημιές. Αυτό μπορεί να οδηγήσει σε απώλεια προσωπικών δεδομένων, όπως κωδικοί πρόσβασης, πληροφορίες πιστωτικών καρτών και προσωπικές επαφές.
Επιπλέον, οι ευπάθειες αυτές μπορούν να χρησιμοποιηθούν για την εγκατάσταση κακόβουλου λογισμικού στις συσκευές των χρηστών. Αυτό μπορεί να οδηγήσει σε παρακολούθηση των δραστηριοτήτων των χρηστών, κλοπή προσωπικών πληροφοριών και απώλεια της ιδιωτικότητας.
Οι ευπάθειες μπορούν να επηρεάσουν και την απόδοση των συσκευών των χρηστών. Οι επιθέσεις που τις εκμεταλλεύονται μπορεί να καταναλώνουν πόρους της συσκευής, όπως η μπαταρία και ο επεξεργαστής, προκαλώντας αργή απόκριση και κατάρρευση εφαρμογών.
Δείτε επίσης: Νέο botnet malware εκμεταλλεύεται two-zero-days για να μολύνει NVR και Routers
Τέλος, οι ευπάθειες μπορούν να δημιουργήσουν ανασφάλεια και ανησυχία στους χρήστες. Όταν ανακοινώνονται ευπάθειες, οι χρήστες ανησυχούν για την ασφάλεια των συσκευών τους και την προστασία των προσωπικών τους δεδομένων. Αυτό μπορεί να επηρεάσει την εμπιστοσύνη των χρηστών στη Google και την εταιρική της εικόνα.
Πηγή: www.bleepingcomputer.com