| 30 ноября 2023 г. — 3:55 PT
Если вы используете Chrome на Mac, настоятельно рекомендуется немедленно обновить его, поскольку обнаруженная Google уязвимость безопасности активно используется злоумышленниками. Она потенциально может позволить извлечь личные данные с вашего Mac (та же проблема затрагивает Chrome на Windows и Linux).
Google заявляет, что осведомлена как минимум об одном случае использования эксплойта в реальных условиях злоумышленником…
Национальный институт стандартов и технологий (NIST) правительства США оценил серьезность проблемы безопасности как высокую.
Google присвоил уязвимости ту же оценку.
Высокая CVE-2023-6345: целочисленное переполнение в Skia. Сообщено Benoît Sevens и Clément Lecigne из группы анализа угроз Google 24.11.2023
Ошибка была обнаружена на прошлой неделе, но теперь выяснилось, что она активно используется.
Google пока не раскрывает никаких подробностей о том, как она работает. Это стандартная практика: компания хочет убедиться, что большинство пользователей обновились, прежде чем раскрывать любые детали, которые могут помочь злоумышленнику использовать ее.
The Verge отмечает то немногое, что нам известно на данный момент.
Все, что мы знаем, это то, что CVE-2023-6345 — это уязвимость целочисленного переполнения, затрагивающая Skia, библиотеку 2D-графики с открытым исходным кодом в графическом движке Chrome. Согласно записям об обновлении Chrome, эксплойт позволил по крайней мере одному злоумышленнику «потенциально осуществить побег из песочницы через вредоносный файл». Побег из песочницы может быть использован для заражения уязвимых систем вредоносным кодом и кражи конфиденциальных пользовательских данных.
Но по сути, если злоумышленник может выполнять произвольный код на вашем Mac, он может сделать многое, даже с учетом защитных мер Apple от вредоносных программ.
Google сообщает, что обновление развертывается постепенно, но когда я проверил, моя версия Chrome, настроенная на автоматическое обновление, уже получила его.
Если ваш браузер Chrome уже настроен на автоматическое обновление, то вам, возможно, не придется предпринимать никаких действий. Всем остальным стоит вручную обновить его до последней версии (119.0.6045.199 для Mac и Linux, а также 119.0.6045.199/.200 для Windows) в настройках Google Chrome, чтобы избежать оставления вашей системы незащищенной. Google заявляет, что исправление развертывается «в течение следующих дней/недель», поэтому на момент написания статьи оно может быть доступно не всем.