Den 25 september upptäckte Googles Threat Analysis Group en tidigare okänd säkerhetsbrist i Chrome – en så kallad zero day – och rapporterade den till Chrome-utvecklarna. De hittade felet och släppte bara två dagar senare en uppdatering av webbläsaren som fixar buggen, skriver Tech Crunch.
Sårbarheten har fått beteckningen CVE-2023-5217 och ligger i kodbiblioteket libvpx som används för att koda video i VP8-formatet. Den har utnyttjats av en icke namngiven kommersiell spionprogramtillverkare och har alltså använts i attacker på känsliga personer.
Google har ännu inte avslöjat några ytterligare tekniska detaljer eller uppgifter om vilka som varit måltavla i attackerna. Företaget skriver att det inte kommer publicera någon djupare teknisk genomgång förrän de flesta användare rimligen kan ha uppdaterat och är skyddade. Eftersom libvpx används även i andra program kan det ta lite tid.
Användare på Windows, Mac eller Linux är skyddade från och med Chrome 117.0.5938.132.
Så sent som förra veckan fixades en annan allvarlig brist i Chrome och andra program som använder bildformatet Webp. Den bristen hade också utnyttjats av kommersiella spionprogram.
