Корпорация Google выпустила в среду экстренное обновление ПО. Оно устраняет уязвимость нулевого дня в браузере Chrome, которая стала уже пятой уязвимостью такого рода, выявленной в самом популярном интернет-браузере с начала нынешнего года. Уязвимость получила идентификатор CVE-2023-5217 и исправлена в версии Chrome 117.0.5938.132 для устройств под управлением операционных систем Windows, MacOS и Linux.

Она связана с переполнением буфера кучи в кодировке VP8 библиотеки видеокодеков с открытым исходным кодом libvpx. Последствия эксплуатации уязвимости могут разниться – от отказов в работе приложений до удаленного исполнения произвольного кода. Проблема была обнаружена исследователем группы Google Threat Analysis Group (TAG) Клеманом Лесинем. Корпорация Google сообщила, что осведомлена о наличии эксплойта для уязвимости CVE-2023-5217, который уже используется в реальных атаках. Однако их подробности не приводятся до тех пор, пока большинство пользователей не получат обновления браузера Chrome. Впрочем, другой исследователь Threat Analysis Group Мэдди Стоун опубликовала у себя в X (Twitter) информацию, согласно которой уязвимость эксплуатировалась для загрузки на пользовательские устройства шпионского программного обеспечения.

Представители Google ожидают, что обновления будут установлены большинством пользователей в течение нескольких дней или даже недель. Однако это, вероятно, слишком осторожная оценка. Браузер Chrome автоматически проверяет и устанавливает обновления при каждом запуске, не требуя от пользователя никаких дополнительных действий.