Google ได้ปล่อยแพตช์อัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ 6 ช่องโหว่ในเบราว์เซอร์ Google Chrome รวมถึง Zero-Day ที่พบว่าถูกใช้ในการโจมตีจริงอย่างกว้างขวาง
ช่องโหว่ที่ถูกใช้ในการโจมตีใช้หมายเลย CVE คือ CVE-2023-6345 เป็นช่องโหว่ Integer overflow ใน Skia ก่อให้เกิดความเสี่ยงตั้งแต่การขัดข้องของ Google Chrome ไปจนถึงการสั่งรันโค้ดที่เป็นอันตรายได้ ซึ่ง Skia เป็นไลบรารีกราฟิก 2D แบบ Open source ถูกรายงานโดย Benoît Sevens และ Clément Lecigne จาก Threat Analysis Group (TAG) ของ Google เมื่อวันที่ 24 พฤศจิกายน 2023
ทาง Google กล่าวว่า การเข้าถึงรายละเอียดของ bug และ link อาจถูกจำกัดการเข้าถึงจนกว่าผู้ใช้ส่วนใหญ่จะทำการอัปเดตเพื่อแก้ไขช่องโหว่นี้ นอกจากนี้เรายังจะคงข้อจำกัดไว้หาก bug มีอยู่ในไลบรารีของ Third party ซึ่งโปรเจ็กต์อื่นๆ ที่ใช้ไลบรารีเดียวกัน แต่ยังไม่ได้แก้ไข
นอกเหนือจากช่องโหว่ CVE-2023-6345 แล้ว Google ยังแก้ไขปัญหาด้านความปลอดภัยอื่นๆ อีก 5 รายการด้วยการอัปเดต Chrome ล่าสุด โดยช่องโหว่เหล่านี้ได้แก่:
ระบบที่ได้รับผลกระทบ
แนวทางการลดผลกระทบ
อ้างอิง
แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในโมดูล Facebook ระดับพรีเมียมสำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อปล่อย Card skimmer บนไซต์ E-commerce ที่มีช่องโหว่ และขโมยข้อมูลบัตรเครดิตการชำระเงิน
นักวิจัยจาก Sonatype นามว่า Ax Sharma พบแพ็กเกจอันตรายของ PyPi ที่เป็นส่วนหนึ่งของแคมเปญที่ผ่านมาชื่อว่า 'Cool package' ตั้งชื่อตามสตริงในข้อมูล Metadata ของแพ็กเกจที่กำหนดเป้าหมายผู้ใช้ Windows เมื่อปีที่แล้ว
Google ปล่อยแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 9 ช่องโหว่บนเบราว์เซอร์ Chrome รวมถึงช่องโหว่ Zero-Day ที่มีรายงานว่าถูกใช้ในการโจมตีจริงแล้ว