Google призывает всех исправить эту активно эксплуатируемую уязвимость Chrome как можно скорее

чешуйчатый хром
Google отмечает серьезную уязвимость в безопасности Chrome и рекомендует пользователям как можно скорее обновить свои браузеры.

Вчера Google выпустила обновление безопасности на стабильном канале для веб-браузера Google Chrome. Ошибка, обозначенная как CVE-2022-1096, использует проблему с типами переменных в движке JavaScript V8 для Google Chrome. По данным Google и других исследователей безопасности, создатели вредоносных программ уже пользуются этой уязвимостью. Таким образом, Google опубликовала заявление, призывающее всех пользователей как можно скорее обновить браузер.

В то время как отчет об ошибке на странице проблемы Chromium заблокирован, способ казни уже известен. Ошибка — «ошибка путаницы типов». Фактически, если доступ к переменной или ячейке памяти осуществляется с использованием неправильного типа, это может привести к сбою или ошибке памяти за пределами границ, что иногда позволяет выполнить произвольный код. Это распространенная проблема в языках, которые не считаются типобезопасными, таких как C, C++ или даже JavaScript, откуда и исходит угроза в веб-браузерах. Несмотря на то, что существует типобезопасный JavaScript, известный как TypeScript, к сожалению, фактическое выполнение в программном обеспечении, выполняющем код, по-прежнему выполняется как сам JavaScript.
код javascript
Основная концепция Type-Safe code заключается в том, что вы всегда знаете, с какими данными вы работаете. В большинстве форм JavaScript вы можете объявить любую переменную, и она будет принимать любой тип, строку, целое число и т. д. Но в типобезопасном коде вы должны объявить свою переменную, а также тип переменной, которую код должен ожидать. , что означает, что вы не можете сохранить строку в целое число.

Уязвимость, которая, как уже говорилось, уже используется, также присутствует в Chromium, разрабатываемой версии веб-браузера Chrome. Chromium также является основой для множества других веб-браузеров и приложений, включая Microsoft Edge, Opera, Vivaldi, Brave и даже библиотеки разработки Electron. Как таковой Гугл также заявили, что призывают разработчиков следить за тем, чтобы они обновляли и выпускали исправления для своих пользователей.
экран обновления
Скриншот панели обновлений в Google Chrome

Чтобы проверить, обновлен ли Google Chrome, или принудительно выполнить обновление, вы можете посетить chrome://settings/help через адресную строку и проверить, отображается ли текущая версия 99.0.4844.84 или выше. Если это так, то все готово, если нет, вы должны увидеть подсказку, позволяющую обновить.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал