Společnost Google v pátek uvedla, že opravila velmi závažnou chybu v prohlížeči Chrome. Na svém blogu společnost popsala zneužití této zranitelnosti a vyzvala uživatele, aby okamžitě aktualizovali svůj prohlížeč. Informoval o tom server BleepingComputer a The Hacker News.
Zranitelnost s vysokou závažností, pojmenována CVE-2023-2033, byla popsána jako chyba „type confusion“ v enginu V8 JavaScript. Stránka Common Weakness Enumeration popisuje tento typ zranitelnosti jako produkt, který „alokuje nebo inicializuje prostředek, například ukazatel, objekt nebo proměnnou, pomocí jednoho typu, ale později k tomuto prostředku přistupuje pomocí typu, který není kompatibilní s původním typem.“ To může vyvolat logické chyby, protože prostředek nemá očekávané vlastnosti.
Google Chrome emergency update fixes first zero-day of 2023 – @sergheihttps://t.co/U1vH1xFSwL
— BleepingComputer (@BleepinComputer) April 14, 2023
Společnost uvedla, že se jedná o zranitelnost typu zero day, která spočívá ve zmatení v enginu Chrome V8 JavaScript. Obvykle lze tento typ zranitelnosti využít k pádu prohlížeče, ale v tomto případě ji lze využít také ke spuštění libovolného kódu na napadených počítačích. Chybu objevil Clement Lecigne ze skupiny Google Threat Analysis Group (TAG). TAG se obvykle zabývá hledáním chyb zneužívaných národními státy nebo státem sponzorovanými hackery. Zatím se však neví, kdo tuto chybu zneužívá.
„Přístup k podrobnostem o zranitelnosti může být omezen, dokud nebude mít většina uživatelů nainstalovanou opravu,“ uvedla společnost Google. „Omezení zachováme také v případě, že chyba nebude opravena v některé knihovně třetí strany, na které jsou závislé další projekty.“
Zdá se, že CVE-2023-2033 sdílí podobnosti s CVE-2022-1096, CVE-2022-1364, CVE-2022-3723 a CVE-2022-4262. Jedná se o čtyři další aktivně zneužívané chyby „type confusion“ v enginu V8, které společnost Google opravila v roce 2022.
Oprava se vám nainstaluje automaticky
Aby uživatelé zranitelnost odstranili, měli by co nejdříve aktualizovat svůj prohlížeč na nejnovější verzi. Oprava řeší chybu v operačních systémech Windows, Mac a Linux. Ve výchozím nastavení se aktualizace nainstaluje automaticky. Pokud máte ale automatické aktualizace vypnuté, budete muset přejít do nabídky Chrome (tři vodorovné tečky v pravém horním rohu okna) a přejít na Nápověda > O aplikaci Google Chrome.
Společnost Google v loňském roce opravila celkem devět zero day chyb v prohlížeči Chrome. Informace o nové chybě přichází několik dní poté, co Citizen Lab a Microsoft odhalily zneužití nyní opravené chyby v systému Apple iOS. Tu vyvinul dodavatel spywaru jménem QuaDream k útokům na novináře, představitele politických opozicí a pracovníky nevládních organizací v roce 2021.
