Mae Google wedi rhyddhau clwt ar gyfer Chrome sy'n trwsio diwrnod sero. Roedd camfanteisio gweithredol yn bodoli, ond ni wyddys pa mor aml y cafodd ei ecsbloetio a beth mae'r byg yn ei olygu mewn gwirionedd.
Mae Google wedi rhyddhau diweddariad 104.0.5112.102/101 ar gyfer Chrome ar gyfer Windows a 104.0.5112.101 ar gyfer macOS a Linux fel datganiad sefydlog. Mae'r cwmni'n ysgrifennu mewn post blog bod un ar ddeg o wendidau yn y porwr wedi'u trwsio. Mae chwech o'r rhain yn fygiau defnydd-ar-ôl-rhad ac am ddim yn FedCm, SwiftShader, Angle, Blink, Shell, a Llif Arwyddo. Mae yna hefyd orfodi polisi anghywir yn ymarferoldeb Cwcis y porwr. Awgrymwyd y gwendidau gan ymchwilwyr diogelwch trydydd parti ac mewn dau achos gan adran ddiogelwch Project Zero Google ei hun.
Mae un o'r bygiau, CVE-2022-2856, yn ddiwrnod sero. “Mae Google yn ymwybodol bod ecsbloetio CVE-2022-2856 yn bodoli yn y gwyllt,” ysgrifennodd y cwmni, ond ni ddarparodd fanylion. Nid yw'n hysbys a yw'r camfanteisio hwnnw'n cael ei gam-drin mewn gwirionedd ac mewn sawl achos mae hyn yn wir. Mae manylion am y bregusrwydd yn fras; Mae Google yn ei alw'n ddilysiad annigonol o fewnbwn di-ymddiried yn Intents, ond nid yw'n rhoi unrhyw fanylion pellach amdano. Canfuwyd y bregusrwydd gan un o weithwyr Grŵp Dadansoddi Bygythiadau Google ei hun, adran ddiogelwch ar wahân.