Google исправляет активно эксплуатируемую уязвимость нулевого дня Chrome, затрагивающую миллиарды пользователей, обновите как можно скорее

Логотип Google Chrome с перевязкой по центру
Chrome — самый популярный браузер на планете (с точки зрения доли рынка) с миллиардами пользователей, и нежелательным побочным эффектом такой огромной популярности в технологическом пространстве является привлечение злоумышленников. Такова причина последнего обновления браузера — оно содержит предупреждение от Google о том, что одно из обновлений безопасности, включенных в патч, устраняет уязвимость нулевого дня, которая активно эксплуатируется в дикой природе.
Это означает, что недостаток, если его не исправить, представляет собой не теоретическую угрозу, а угрозу, на которую нацелены злоумышленники. В любом случае рекомендуется как можно раньше установить исправление безопасности. Даже если не было обнаружено каких-либо инцидентов с использованием нулевого дня , как правило, рекомендуется исправить ситуацию, когда это возможно.
Рассматриваемая уязвимость отслеживается как CVE-2022-2294 и имеет высокий рейтинг безопасности. Это описывается как эксплойт «переполнение буфера кучи в WebRTC». Бесплатный компонент Web Real-Time Communications (WebRTC) с открытым исходным кодом в Chrome позволяет видео- и голосовой связи работать внутри веб-страниц с использованием уровня JavaScript API и без необходимости установки каких-либо плагинов.
Google пока не предлагает никаких подробностей о нулевом дне, поскольку политика заключается в том, чтобы подождать, пока большинство пользователей не смогут применить патч, прежде чем предоставлять кровавые подробности. Вообще говоря, эти типы недостатков могут привести к сбоям или хуже.
«Переполнение буфера часто может использоваться для выполнения произвольного кода, который обычно выходит за рамки неявной политики безопасности программы. Помимо важных пользовательских данных, переполнение кучи может использоваться для перезаписи указателей функций, которые могут жить в памяти, указывая на нее. к коду злоумышленника», — объясняет MITRE.
Последний патч Google также нацелен на две другие уязвимости в системе безопасности , обе из которых также имеют высокий уровень серьезности. К ним относятся CVE-2022-2259 (путаница типов в версии 8) и CVE-2022-2296 (пользователь после бесплатной версии в оболочке Chrome OS).
версия Гугл Хром
Вы можете дождаться автоматического обновления Chrome, хотя мы рекомендуем форсировать проблему. Вы можете сделать это, нажав на три вертикальные точки в правом верхнем углу, а затем выбрав « Справка» > «О Google Chrome». Последний патч Chrome (на момент написания этой статьи) обновляет браузер до сборки 103.0.5060.66 .

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал