Sigurnosni propust visokog rizika otkriven je u Googleovom pregledniku Chrome prošloga tjedna, za što je zaslužan njihov sigurnosni odjel, Threat Analysis Group (koja inače primarno radi na obrani od državno sponzoriranih hakerskih napada).
Samo nekoliko dana po otkriću, izdana je i hitna zakrpa za Chrome, i to za sve njegove varijante na desktopu, dakle na Windowsima, Macu i Linuxu, javlja Bug.
Ispravak ranije pogreške
Posljednja stabilna verzija (v112.0.5615.121) donosi ispravak ranije pogreške, pa je svim korisnicima preporučeno da odmah nadograde svoje preglednike.
Propust je dobio i službenu oznaku, CVE-2023-2033, i prvi je to "zero day" propust ove godine za Chrome. Ono što ga čini vrlo ozbiljnim jest činjenica da je otkriveno kako se već koristi za napade.
Iskorištavanjem pogreške u načinu upravljanja memorijom, što omogućava napadaču pristup do određenih resursa.
Napad preko HTML stranice
Napad se izvršava posebno prerađenom HTML stranicom, koju je potrebno posjetiti, dok je vektor napada V8 JavaScript engine, unutar kojeg je propust uočen.
Ipak, iz Googlea za sada nisu otkrili više detalja, što također daje naslutiti da je riječ o ozbiljnom, ali i korištenom propustu, za koji nije uputno detalje učiniti javno dostupnima.
Te će pojedinosti biti uskraćene javnosti, kažu iz Googlea, kada većina korisnika primijeni ovu zakrpu.
Samo nekoliko dana po otkriću, izdana je i hitna zakrpa za Chrome, i to za sve njegove varijante na desktopu, dakle na Windowsima, Macu i Linuxu, javlja Bug.
Ispravak ranije pogreške
Posljednja stabilna verzija (v112.0.5615.121) donosi ispravak ranije pogreške, pa je svim korisnicima preporučeno da odmah nadograde svoje preglednike.
Propust je dobio i službenu oznaku, CVE-2023-2033, i prvi je to "zero day" propust ove godine za Chrome. Ono što ga čini vrlo ozbiljnim jest činjenica da je otkriveno kako se već koristi za napade.
Iskorištavanjem pogreške u načinu upravljanja memorijom, što omogućava napadaču pristup do određenih resursa.
Napad preko HTML stranice
Napad se izvršava posebno prerađenom HTML stranicom, koju je potrebno posjetiti, dok je vektor napada V8 JavaScript engine, unutar kojeg je propust uočen.
Ipak, iz Googlea za sada nisu otkrili više detalja, što također daje naslutiti da je riječ o ozbiljnom, ali i korištenom propustu, za koji nije uputno detalje učiniti javno dostupnima.
Te će pojedinosti biti uskraćene javnosti, kažu iz Googlea, kada većina korisnika primijeni ovu zakrpu.