V8 JavaScript -ում CVE-2023-2033-ը նկարագրվում է որպես բարձր խոցելիություն ունեցող թիրախ: Այս խնդրի մասին առաջին անգամ բարձրաձայնել է Google-ի սպառնալիքների և վերլուծությունների կենտրոնի (TAG) փորձագետ՝ Կլեմենտ Լեկինին:
«Մինչ Google Chrome-ի 112.0.5615.121 տարբերակները V8-երը հաքերների համար հնարավորություն են ստեղծել հարձակումներ գործել հենց HTML էջերի միջոցով», ասվում է NIST-ի խոցելիության ազգային տվյալների բազայի (NVD) կողմից հրապարակված զեկույցում:
Տեխնոլոգիական հսկան ընդունում և բարձրաձայնում է, որ «CVE-2023-2033-ի շահագործումն արդեն իսկ լայնամասշտաբ կիրառում ունի», սակայն դեռևս չի բարձրաձայնում լրացուցիչ տեխնիկական առանձնահատկությունների մասին (IoCs), որոնք կարող են կանխել հաքերների հետագա վտանգավոր գործողությունները:
Առկա խնդրի բովանդակ ուսումնասիրությունն ու լուծման ընթացքը մեկնարկեց այն բանից հետո, երբ Citizen Lab-ը և Microsoft-ը բացահայտեցին Apple iOS-ի խոցելիության շահագործումը QuaDream լրտեսող ծրագրի կողմից, որի կիրառումը թիրախավորել էր՝ լրագրողներին, քաղաքական ընդդիմադիր գործիչներին և ՀԿ-ի աշխատակիցներին:
Շտկումներ առաջարկվեցին նաև այն բանից հետո, երբ Apple-ը թողարկեց նոր թարմացումներ՝ iOS, iPadOS, macOS և Safari վեբ բրաուզերում (CVE-2023-28205 և CVE-2023-28206)-երը շտկելու համար: Դրանց կիրառումը կարող էր հանգեցնել կամայական կոդի կատարման:
Որպես ուղղորդում, օգտատերերին խորհուրդ է տրվում թարմացնել՝ Windows-ի, macOS-ի և Linux-ի 112.0.5615.121 տարբերակը՝ սպասվելիք ռիսկերը մեղմելու համար: Chromium-ի հիմքով բրաուզերների օգտատերերին, ինչպիսիք են՝ Microsoft Edge-ը, Brave-ը, Opera-ն և Vivaldi-ն, նույնպես խորհուրդ է տրվում կատարել համապատասխան թարմացումներ:
Աղբյուրը՝ https://thehackernews.com/
