Google

Уязвимость нулевого дня в браузере Chrome

Google выпустила Chrome 103.0.5060.114 для устройств, работающих под управлением Windows. Обновление устраняет опасную уязвимость нулевого дня, которая используется хакерами на практике. В текущем году Google уже в четвёртый раз выпускает патч для устранения уязвимости нулевого дня в Chrome.

Google подтвердила, что разработчикам известно о существовании эксплойта на базе уязвимости CVE-2022-2294. Проблема устранена в упомянутой версии Chrome, распространение которой началось на этой неделе. Ожидается, что она станет доступна всем пользователям обозревателя в ближайшее время. Рекомендуется не затягивать с установкой патча, для чего достаточно проверить наличие обновления через соответствующее меню Chrome.

Что касается самой уязвимости CVE-2022-2294, то её эксплуатация связана с переполнением буфера компонента Web Real-Time Communications (WebRTC). О проблеме стало известно несколько дней назад, когда её обнаружили специалисты Avast Threat Intelligence. Эксплуатация уязвимости позволяет злоумышленникам совершать разные действия на устройстве жертвы, включая удалённое выполнение произвольного кода.

Несмотря на то, что известно об использовании уязвимости CVE-2022-2294 на практике, Google не спешит раскрывать подробностей касательно данной проблемы. В компании отметили, что доступ к информации об уязвимости будет ограничен до тех пор, пока устраняющий её патч не будет установлен на устройствах подавляющего большинства пользователей Chrome, для чего может потребоваться несколько недель.

3dnews.ru

1 июля 2022 года 0-day была обнаружена Яном Вожтесеком, специалистом команды Avast Threat Intelligence. Google не стала раскрывать технические подробности, касающиеся уязвимости, чтобы предотвратить ее дальнейшее использование в дикой природе. Скорее всего компания хочет, чтобы сначала большая часть пользователей установила обновление.

CVE-2022-2294 стала четвертой 0-day уязвимостью, исправленной в браузере Chrome. До нее специалистам удалось устранить CVE-2022-0609 , CVE-2022-1096 и CVE-2022-1364 .

Эксперты настоятельно рекомендуют пользователям обновить браузер до версии 103.0.5060.114 на всех доступных платформах. Пользователям браузеров на базе Chromium, также рекомендуется установить обновления по мере их появления.

Хотя Google заявляет, что уязвимость уже эксплуатировали хакеры, пока компания не сообщает никаких технических подробностей об этих инцидентах. В Google традиционно пишут, что «доступ к сведениям об ошибках и ссылкам может быть ограничен до тех пор, пока большинство пользователей не получат исправление».

Стоит отметить, что также в этой версии Chrome были устранены и другие уязвимости: CVE-2022-2295 (проблема типа type confusion в движке JavaScript V8) и CVE-2022-2296 (ошибка типа use after free в Chrome OS Shell).

С начала 2022 года это уже четвёртая уязвимость нулевого дня, устранённая в браузере Chrome. Три другие получили следующие идентификаторы: CVE-2022-1364, CVE-2022-1096 и CVE-2022-0609.

Ошибку, для которой уже циркулирует вредоносный код, можно найти в WebRTC (Web Real-Time Communication), коллекции журналов для веб-коммуникаций (CVE-2022-2294, риск «высокий»). Исследователи безопасности Avast обнаружили это и сообщили об этом 1 июля. Как обычно, Google не предоставляет никаких дополнительных сведений для защиты пользователей, пока они не установят доступное обновление.

Еще одна уязвимость относится к типу Type Confusion и затрагивает движок JavaScript V8 (CVE-2022-2295, высокая). При путанице типов код выделяет или инициализирует ресурс, такой как указатель, объект или переменная, с определенным типом, но позже обращается к ресурсу с несовместимым типом данных. Это может привести к доступу за пределы выделенной памяти и, следовательно, к выполнению внедренного кода.

Еще одна кратко описанная уязвимость неожиданно затрагивает оболочку Chrome OS, с которой, по всей видимости, идет браузер (CVE-2022-2296, высокая). Здесь уязвимость использования после освобождения может предложить киберпреступникам цель для атаки.

Запустить обновление браузера вручную
Поскольку одна из уязвимостей уже активно эксплуатируется, пользователям следует быстро проверить, используют ли они текущую версию. Для этого им нужно нажать на «трехточечное меню» в правом верхнем углу адресной строки и, наконец, перейти в «Справка» — «О Google Chrome». Либо Chrome уже отобразит номер текущей версии, либо это вызовет загрузку и установку обновления.

Поскольку уязвимости затрагивают несколько компонентов, которые также используются в базовом проекте Chromium, таких как движок JavaScript V8, поставщики других веб-браузеров на основе Chromium также должны вскоре предложить обновления. Совсем недавно, около двух недель назад, Google закрыл еще 14 уязвимостей в веб-браузере.

Просмотров: 0

 

Оставьте комментарий

Яндекс.Метрика Top.Mail.Ru