Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Łatajcie błyskawicznie Chrome. Google załatał właśnie krytyczną podatność wykorzystywaną w dziczy. Możliwe powiązania z Pegasusem
Google wypuścił właśnie nową wersję Chrome łatającą zaledwie jedną podatność. Musi być to naprawdę gruba sprawa, bo dostała ona etykietę 'Critical’ (z naszego doświadczenia dość rzadko się to zdarza). Jak czytamy:
Critical CVE-2023-4863: Heap buffer overflow in WebP. Reported by Apple Security Engineering and Architecture (SEAR) and The Citizen Lab at The University of Torontoʼs Munk School on 2023-09-06 (…)
Google is aware that an exploit for CVE-2023-4863 exists in the wild.
Citizen Lab zapewne kojarzycie jeśli chodzi o ich prace dotyczące analizy Pegasusa. Trudno jednak definitywnie osądzić do czego exploit jest wykorzystywany – w każdym razie jest aktywnie wykorzystywany. Łatajcie się ASAP.
Zaktualizowane wersje: 116.0.5845.187 – Mac oraz Linux, 116.0.5845.187/.188 – Windows.
~ms
Cały Electron czyli setki aplikacji + wszystko co korzysta z WebP. Samo załatanie Chromium nie za wiele pomoże. Bo inni wydali aplikacje z tą podatnością.
Co z tego, że nie mówią, gdzie jest błąd. Wystarczy sprawdzić co zmienił patch.
Ale większość aplikacji Eloktornowych nie będzie wykonywać „obcego” kodu więc to ich raczej nie dotyczy.
Dobrze ze to w diczy sie dzieje.
Miastowi bezpieczni ;-)
No chyba raczysz żartować. Miasto to największa dżungla. ;P
już jest wersja 117
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_12.html
Całe szczęście nie bywam w dziczy ufff…
Przydałoby się również taka łatka do innych przeglądarek
Przeciez lataja, i to wlasnie na TA podatnosc:
https://www.bleepingcomputer.com/news/security/mozilla-patches-firefox-thunderbird-against-zero-day-exploited-in-attacks/
W sumie to Chrome na androidzie sie przydaje… ale tylko jak mu sie zablokuje dostep do sieci a jako domyslna przegladarke sie zastosuje cos NIE bazujacego na chromium xD