Google heeft een noodbeveiligingsupdate uitgebracht die een opkomend zero-day-beveiligingsprobleem in Chrome verhelpt. "Google is zich ervan bewust dat een kwetsbaarheid in CVE-2023-4863 extern is uitgebuit", meldt het bedrijf in een beveiligingsadvies. "Het probleem, beschreven als een heapbufferoverflow, doet zich voor in het WebP-afbeeldingsformaat."
Een heapbufferoverloop treedt op wanneer een programma probeert meer gegevens naar een toegewezen geheugenbuffer te schrijven dan de werkelijke ontwerpcapaciteit van de buffer. In sommige gevallen kan deze kwetsbaarheid een aanvaller in staat stellen willekeurige code uit te voeren, wat betekent dat hij of zij code van zijn keuze op een getroffen systeem kan uitvoeren.
Apple's Security Engineering and Architecture (SEAR) en het Munk School Citizen Lab van de Universiteit van Toronto ontdekten en rapporteerden dit beveiligingslek op 6 september 2023. Google heeft echter de details van het beveiligingslek niet bekendgemaakt en ook geen informatie verstrekt over hoe aanvallers dit kunnen misbruiken.
Gebruikers van Chrome-browsers wordt sterk aangeraden hun browser bij te werken naar de nieuwste versie, namelijk 116.0.5845.187 voor Mac en Linux en 116.0.5845.187.188 voor Windows. Deze update is belangrijk omdat deze de kwetsbaarheid CVE-2023-4863 verhelpt.
De nieuwe versie wordt momenteel uitgerold naar gebruikers in de stabiele en uitgebreide stabiele kanalen, en kan in de komende dagen of weken naar alle gebruikers worden uitgerold. De update kon worden gedownload toen we controleerden op de nieuwe update via Chrome Menu > Help > Over Google Chrome op een Windows-pc.
De nieuwste kwetsbaarheid ontstond nadat Google in augustus aankondigde wekelijkse beveiligingsupdates uit te brengen voor stabiele Chrome-browsergebruikers. Het bedrijf zei dat als wordt ontdekt dat een beveiligingsprobleem actief wordt uitgebuit, het dit onmiddellijk zal aanpakken en ongeplande patches voor de Chrome-browser zal uitbrengen.