Google видає нове попередження для 3 мільярдів користувачів Chrome

3 мільярди користувачів Chrome у всьому світі чекали чотири місяці на першу загрозу безпеці Zero Day у 2023 році, а тепер друга з’явилася лише через кілька днів. Знову ж таки, кожному потрібно першочергово оновити свій браузер.

Опублікувавши сьогоднішню публікацію в блозі, Google підтвердив відкриття чотирьох нових високорівневих уразливостей Chrome, причому компанія заявила, що експлойт для однієї, CVE-2023-2136, «існує в дикій природі». Усі чотири вразливості впливають на Chrome у Windows, Mac і Linux.

На відміну від трьох із чотирьох останніх уразливостей Chrome Zero Day, CVE-2023-2136 не націлена на движок Javascript V8 браузера. Натомість Google заявляє, що це як «переповнення цілих чисел у Skia» — Skia — це графічний механізм для Chrome. Переповнення цілого числа відбувається, коли ціле значення збільшується до значення, яке є занадто великим для збереження, що ставить під загрозу його безпеку та відкриває його для використання.

Уразливість знову виявила група аналізу загроз Google, але виправлення не було створено до того, як було повідомлено про перші експлойти Chrome.

У відповідь Google випустив нову версію Chrome, яка виправляє CVE-2023-2136 разом з іншими трьома вразливими місцями високого рівня, загалом вісім. Щоб запустити оновлення, потрібно клацнути рядок додаткового меню (три вертикальні крапки) у верхньому правому куті веб-переглядача, а потім «Довідка» > «Про Google Chrome». Це змусить Chrome перевірити наявність оновлень веб-переглядача. Після завершення оновлення вам потрібно перезапустити браузер, щоб отримати повний захист.

Google опублікує додаткові відомості про CVE-2023-2136 та інші вразливості пізніше, виграючи час для оновлення більшості браузерів Chrome.

Раніше я вже говорив про чудову роботу, яку Google виконав, виправляючи вразливості Chrome протягом останнього року, і ці два швидкі експлойти Zero Day цього не змінюють. Минулого року Google попереджав користувачів про зростання кількості атак Zero Day, але насправді вони зробили навпаки, зменшившись із 15 у 2021 році до дев’яти у 2022 році, а тепер лише двох — включаючи сьогоднішній експлойт — у 2023 році.

Як Google зупинив хвилю? Хоча випадкові спостерігачі подумають, що постійне повідомлення Google про вразливості робить Chrome небезпечнішим, правда навпаки. Chrome заснований на Chromium, як і багато інших конкуруючих браузерів, і однакові вразливості також впливають на всі ці варіанти, але лише Google постійно заявляє про них. Будучи творцем Chromium, він також є першим, хто випускає патчі.

Таким чином, хоча Chrome має власні недоліки (використання пам’яті, параметри конфіденційності тощо), на яких конкуренти Chromium намагаються скористатися, безпека не є одним із них. Тим не менш, вам все одно потрібно негайно оновити Chrome.