Google выпустила срочные патчи, устраняющие уязвимость нулевого дня в браузере Chrome. Таким образом, это уже четвёртая 0-day, которую закрыли в интернет-обозревателе с начала этого года.
В опубликованном уведомлении разработчики пишут:
«Google в курсе наличия готового эксплойта для CVE-2023-4863, который уже используется в реальных кибератаках».
Новая версия Chrome доступна в стабильном канале (также и в Extended). Ожидается, что до всех пользователей апдейт дойдёт в ближайшие дни или недели.
Актуальные номера сборки — 116.0.5845.187 (macOS и Linux) и 116.0.5845.187/.188 (Windows). Девелоперы подчёркивают, что игнорировать эти обновления не стоит.
Что касается уязвимости, она получила идентификатор CVE-2023-4863 и статус критической, а причиной её является переполнение буфера в WebP. Эксплуатация позволят осуществить целый спектр вредоносных действий: от вызова сбоев в работе до выполнения кода.
