Google зададе нула дни в Chrome за втори път за кратко време. Уязвимостта е целочислено препълване в изобразяването на текст на Skia, което позволява избягване на пясъчника. Google казва, че този експлойт е бил използван в дивата природа.
Google внедри корекция на грешка в Chromium. За Chrome корекцията е в стабилния канал. Това са компилации 112.0.5615.137/138 за Windows и 112.0.5615.137 за macOS. в актуализацията Отстранени са общо осем уязвимости. Пет от тях са представени от външни изследователи. В един случай беше нулев ден.
Точно този нулев ден е слабото място CVE-2023-2136, целочислено препълване в хранилището на Skia. Skia е двигател, използван в Chromium за изобразяване на текст. Уязвимостта се оценява като висок риск. Според Google нападателят може да избяга от пясъчника с експлойт на специално подготвена HTML страница. Много други коригирани грешки също са изложени на висок риск. Това включва две Извън границитеУязвимости на паметта, които присъстваха в API на Service Worker и Използвайте след безплатно в средствата за разработка.
Както обикновено, Google не предоставя допълнителна информация за това как уязвимостта е била използвана в природата. Това е вторият път за кратко време, в който компанията коригира активно експлоатиран бъг в популярния браузър. Това се случи и в събота, като не се знае дали има съвпадение между двете грешки.
„Страстен мислител. Twitter maven. Склонен към пристъпи на апатия. Приветлив музикален експерт. Фен на алкохола на свободна практика. Фанатик на бирата.“