Google выпускает экстренное исправление безопасности для миллиардов пользователей браузера Chrome, обновите как можно скорее

Логотип Google Chrome
Если вы используете браузер Google Chrome на ПК с Windows, системе Linux или компьютере Mac, убедитесь, что у вас установлена ​​последняя версия (версия 98.0.4758.102). Это связано с тем, что последнее обновление содержит несколько исправлений безопасности, в том числе экстренный патч для уязвимости нулевого дня, которая, по словам Google, активно эксплуатируется в дикой природе.
Эта конкретная уязвимость указана как CVE-2022-0609, и, к сожалению, в настоящее время о ней очень мало информации. Или к счастью, поскольку Google часто не раскрывает мельчайшие подробности о таких вещах, пока пользователи не получат возможность применить обновление. В противном случае это просто привлекает внимание хакеров к еще одному вектору атаки, прежде чем большинство пользователей будут должным образом защищены.
Это просто описывается как эксплойт «Использовать после бесплатного в анимации», который был обнаружен и сообщен
Адам Вайдеманн и Клеман Лесинь из группы анализа угроз Google.
В общей сложности последнее обновление включает 11 исправлений безопасности , более половины из которых имеют высокий уровень серьезности. Перечисленные вознаграждения за ошибки составляют 29 000 долларов, хотя фактическая сумма выше — есть по крайней мере два вознаграждения, которые еще предстоит определить.
Google предоставил минимальную информацию о большинстве из них. Они включают…

  • Высокий: CVE-2022-0603: использовать после освобождения в диспетчере файлов. Об этом сообщил Чаоюань Пэн (@ret2happy) 22 января 2022 г.
  • Высокий: CVE-2022-0604: переполнение буфера кучи в группах вкладок. Об этом сообщает Krace 24 ноября 2021 г.
  • Высокий: CVE-2022-0605: использовать после бесплатного использования в API интернет-магазина. Об этом сообщил Томас Орлита 13 января 2022 г.
  • Высокий: CVE-2022-0606: используйте после free в ANGLE. Об этом сообщила Кэссиди Ким из Amber Security Lab, OPPO Mobile Telecommunication Corp. Ltd., 17 января 2022 г.
  • Высокий: CVE-2022-0607: использовать после бесплатного использования в графическом процессоре. Сообщил пользователь 0x74960 17 сентября 2021 г.
  • Высокий: CVE-2022-0608: Целочисленное переполнение в Mojo. Об этом сообщил Сергей Глазунов из Google Project Zero 16 ноября 2021 г.
  • Высокий: CVE-2022-0609: использовать после бесплатного использования в анимации. Об этом сообщили Адам Вайдеманн и Клеман Лесинь из группы анализа угроз Google от 10 февраля 2022 г.
  • Носитель: CVE-2022-0610: недопустимая реализация в Gamepad API. Об этом сообщает Anonymous 08 января 2022 г.

Некоторые из них относятся к ошибкам Use After Free, которые связаны с повреждением памяти и несколько распространены среди взломов браузера. В этом случае недостатки UAF затрагивают файловый менеджер, API интернет-магазина, ANGLE, GPU и анимацию, последняя из которых Google подтвердила , что эксплойт «существует в дикой природе». Это примечательно, учитывая, что по оценкам пользователей Chrome насчитывается не менее 3,2 миллиарда человек.
О странице Chrome
Вы можете дождаться автоматического обновления, но, учитывая ситуацию, лучше форсировать проблему. Это достаточно легко сделать. Просто нажмите на три вертикальные точки в правом верхнем углу, чтобы открыть меню Chrome , и перейдите в раздел « Справка» > «Google Chrome» . Затем браузер проверит наличие обновления и, если оно доступно, сразу же начнет его загрузку. После завершения вам нужно будет перезапустить Chrome.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал