Společnost Google ve středu vydala bezpečnostní aktualizace, které řeší nový aktivně zneužívaný zero-day v prohlížeči Chrome, označený jako CVE-2023–6345. Jde o závažnou zranitelnost způsobenou přetečením celého čísla v subsystému Skia, což je 2D grafická knihovna s otevřeným zdrojovým kódem, která poskytuje společné rozhraní API fungující na různých hardwarových a softwarových platformách. Slouží jako grafický engine pro Google Chrome, ChromeOS, Android, Flutter a mnoho dalších produktů.
Chybu objevili Benoît Sevens a Clément Lecigne ze skupiny Threat Analysis Group společnosti Google. Firma už vydala aktualizaci prohlížeče Chrome, která bezpečnostní problém řeší: pro Linux a macOS jde o verzi 119.0.6045.199, pro Windows verze končí na .200. Google potvrdil, že existuje veřejný exploit schopný chybu zneužít.
Jde už o šestou chybu typu zero-day, kterou museli vývojáři Chrome letos řešit. Ty ostatní jsou:
- CVE-2023–2033 (CVSS score: 8.8) – Type Confusion in V8
- CVE-2023–2136 (CVSS score: 9.6) – Integer overflow in the Skia graphics library
- CVE-2023–3079 (CVSS score: 8.8) – Type Confusion in V8
- CVE-2023–4863 (CVSS score: 8.8) – Heap buffer overflow in WebP
- CVE-2023–5217 (CVSS score: 8.8) – Heap buffer overflow in vp8 encoding in libvpx
