Компания Google только что выпустила незапланированное обновление для устранения уязвимости нулевого дня, которая, как полагают, активно эксплуатируется хакерами в браузере Google Chrome. Это первая критическая ошибка 2023 года в браузере с самой большой долей рынка в мире на сегодняшний день.

Об уязвимости, обозначенной как CVE-2023-2033, сообщил Клемент Лесинь из группы анализа угроз Google (TAG) 11 апреля 2023 года. Google TAG — это группа экспертов, занимающаяся обнаружением и сообщением об уязвимостях нулевого дня, используемых в целенаправленных атаках со стороны спонсируемых правительством злоумышленников.

Уязвимость, классифицированная как высокая степень серьезности, описывается как проблема путаницы типов в движке JavaScript V8. Ошибка типа V8 в Google Chrome до версии 112.0.5615.121 позволяет удаленным злоумышленникам потенциально эксплуатировать повреждение кучи с помощью специально созданной HTML-страницы.

Хотя эта ошибка обычно позволяет злоумышленнику вызвать сбой браузера при успешной эксплуатации путем чтения или записи данных за пределами буфера, она также может позволить хакерам выполнить код на взломанных устройствах. Высокая степень серьезности уязвимости побудила Google заявить, что доступ к сведениям об ошибке будет ограничен до тех пор, пока большинство пользователей не получат исправления.

Также возможно, что Google продолжит ограничивать доступ к этой уязвимости безопасности, поскольку она также присутствует в сторонних библиотеках или проектах, которые зависят от JavaScript V8 и не были исправлены.

Пользователям браузеров на базе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi, также следует применить исправления сразу после их выпуска. Чтобы проверить новую версию Google Chrome, в браузере пользователя перейдите в Chrome > Справка > О Google Chrome.