Carding
Professional
- Messages
- 2,871
- Reaction score
- 2,331
- Points
- 113
Google в понедельник выпустила внеполосные исправления безопасности для устранения критического недостатка безопасности в своем веб-браузере Chrome, который, по его словам, был использован в естественных условиях.
Отслеживается как уязвимость CVE-2023-4863, вопрос был описан в случае переполнения буфера кучи , которая находится в WebP изображений формата Что может привести к выполнению произвольного кода или сбоя.
Apple Security Engineering and Architecture (SEAR) и Citizen Lab в Школе Манк Университета Торонто были обнаружены и сообщили об ошибке 6 сентября 2023 года.
Технический гигант пока не раскрыл дополнительных подробностей о характере атак, но отметил, что ему "известно, что эксплойт для CVE-2023-4863 существует в естественных условиях".
С последним исправлением Google устранил в общей сложности четыре уязвимости нулевого дня в Chrome с начала года -
По данным Citizen Lab, CVE-2023-41064, как говорят, использовался совместно с CVE-2023-41061, проблемой с проверкой в Wallet, как часть цепочки эксплойтов iMessage с нулевым кликом под названием BLASTPASS для развертывания Pegasus на полностью исправленных iPhone под управлением iOS 16.6.
Тот факт, что CVE-2023-41064 и CVE-2023-4863 связаны с обработкой изображений и что о последнем сообщили Apple и Citizen Lab, предполагает, что между ними может быть потенциальная связь.
Пользователям рекомендуется обновить Chrome до версии 116.0.5845.187 / .188 для Windows и 116.0.5845.187 для macOS и Linux, чтобы уменьшить потенциальные угрозы. Пользователям браузеров на базе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi, также рекомендуется применять исправления по мере их появления.
Отслеживается как уязвимость CVE-2023-4863, вопрос был описан в случае переполнения буфера кучи , которая находится в WebP изображений формата Что может привести к выполнению произвольного кода или сбоя.
Apple Security Engineering and Architecture (SEAR) и Citizen Lab в Школе Манк Университета Торонто были обнаружены и сообщили об ошибке 6 сентября 2023 года.
Технический гигант пока не раскрыл дополнительных подробностей о характере атак, но отметил, что ему "известно, что эксплойт для CVE-2023-4863 существует в естественных условиях".
С последним исправлением Google устранил в общей сложности четыре уязвимости нулевого дня в Chrome с начала года -
- CVE-2023-2033 (оценка CVSS: 8,8) - путаница с типами в версии 8
- CVE-2023-2136 (оценка CVSS: 9,6) - Переполнение целых чисел в Skia
- CVE-2023-3079 (оценка CVSS: 8,8) - путаница в версии 8
- iOS 15.7.9 и iPadOS 15.7.9 - iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPad Air 2, iPad mini (4-го поколения) и iPod touch (7-го поколения)
- macOS Big Sur 11.7.10 и macOS Monterey 12.6.9
По данным Citizen Lab, CVE-2023-41064, как говорят, использовался совместно с CVE-2023-41061, проблемой с проверкой в Wallet, как часть цепочки эксплойтов iMessage с нулевым кликом под названием BLASTPASS для развертывания Pegasus на полностью исправленных iPhone под управлением iOS 16.6.
Тот факт, что CVE-2023-41064 и CVE-2023-4863 связаны с обработкой изображений и что о последнем сообщили Apple и Citizen Lab, предполагает, что между ними может быть потенциальная связь.
Пользователям рекомендуется обновить Chrome до версии 116.0.5845.187 / .188 для Windows и 116.0.5845.187 для macOS и Linux, чтобы уменьшить потенциальные угрозы. Пользователям браузеров на базе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi, также рекомендуется применять исправления по мере их появления.
