Google heeft een patch uitgebracht voor een actief misbruikte kwetsbaarheid in de Chrome-browser. De kwetsbaarheid zit in de Skia-engine, die wordt gebruikt voor het weergeven van plaatjes en tekst. Het is de zesde zeroday in Chrome die Google dit jaar heeft gepatcht.
De patch zit in Chrome-versie 119.0.6045.199 en 119.0.6045.200 voor Windows en 119.0.6045.199 voor macOS en Linux. Naast zes andere bugfixes, is ook de zeroday in de Skia-engine opgelost. Deze kwetsbaarheid wordt aangeduid als CVE-2023-6345. Google zegt zich 'bewust te zijn van berichten' dat deze kwetsbaarheid al wordt geëxploiteerd.
De bug maakt een integer overflow mogelijk in de Skia-engine. Aanvallers kunnen daarmee mogelijk crashes veroorzaken of in het ergste geval willekeurige code uitvoeren binnen de browser. De kwetsbaarheid is gevonden door twee onderzoekers van Googles Threat Analysis Group. Het bedrijf deelt geen verdere details. Google weerhoudt concrete informatie over kwetsbaarheden doorgaans totdat de meeste gebruikers de patch hebben geïnstalleerd.
Google Chrome-updates worden doorgaans binnen enkele dagen automatisch geïnstalleerd. Gebruikers kunnen de update ook handmatig installeren. Dat is mogelijk door in de browser op 'Help' en vervolgens 'Over Google Chrome' te klikken in het instellingenmenu rechtsboven in de browser. Gebruikers kunnen daar de update installeren, waarna de browser opnieuw kan worden opgestart.