Zero-day zraniteľnosť v Google Chrome
Na zero-day zraniteľnosť poukázali výskumníci Clément Lecigne a Vlad Stolyarov z tímu Google Threat Analysis Group (TAG). Chyba súvisí s pretečením medzipamäte na halde v komponente WebRTC a umožňuje vykonávanie ľubovoľného kódu.
Zraniteľné systémy:
- Mozilla
- Firefox
- Safari
- Microsoft Edge
- Brave
- Opera
- Vivaldi
- Google Chrome, verzie staršie ako 120.0.6099.129/130 pre Linux, macOS a Windows.
Opis činnosti:
CVE-2023-7024
Zero-day zraniteľnosť CVE-2023-7024 sa týka pretečenia medzipamäte na halde v komponente WebRTC. Úspešné zneužitie môže viesť k pádu aplikácie alebo umožňuje útočníkom vykonávanie ľubovoľného kódu. Na zraniteľnosť poukázali výskumníci Clément Lecigne a Vlad Stolyarov z tímu Google Threat Analysis Group (TAG). Zraniteľnosť je aktívne zneužívaná.
Zraniteľnosť sa pravdepodobne nachádza aj v ostatných prehliadačoch postavených na platforme Chromium.
Závažnosť zraniteľnosti: Kritická
Možné škody:
- Vykonávanie ľubovoľného kódu
- Nedostupnosť aplikácie
Odporúčania:
Bezodkladná aktualizácia prehliadačov na najnovšiu verziu. Odporúčame aktualizovať Google Chrome aspoň na verziu 120.0.6099.129 pre Mac, Linux a 120.0.6099.129/130 pre Windows.
Odkazy:
https://thehackernews.com/2023/12/urgent-new-chrome-zero-day.html
https://chromereleases.googleblog.com/2023/12/stable-channel-update-for-desktop_20.html
https://securityonline.info/cve-2023-7024-zero-day-vulnerability-threatens-chrome-web-browser/