Stfw.Ru
Google представила экстренное обновление безопасности для настольной версии веб-браузера Chrome, которое устраняет уязвимость нулевого дня (0day, zero day). Её использовали в атаках в этом году.
Уязвимость с высокой степенью серьёзности получила идентификатор CVE-2022-4135 и представляет собой ошибку переполнения буфера (heap overflow) в графическом процессоре. Она приводит к тому, что данные записываются в запрещённые места без проверки. Злоумышленники могут использовать ошибку, чтобы перезаписать память приложения и манипулировать его путём выполнения. Это приводит к неограниченному доступу к информации и делает возможным выполнение произвольного кода.
22 ноября уязвимость обнаружил Клемент Лесинем из группы анализа угроз Google. Она уже эксплуатируется хакерами.
Поскольку пользователям нужно время, чтобы применить обновление, Google пока не раскрывает подробности об уязвимости.
Пользователям Chrome рекомендуется обновиться до версии 107.0.5304.121/122 для Windows и 107.0.5304.122 для Mac и Linux. Для этого нужно перейти в «Настройки» → «О Chrome» → «Дождитесь окончания загрузки последней версии» → «Перезапустите программу».
Обновление исправляет уже восьмую по счёту в этом году активно эксплуатируемую уязвимость нулевого дня.
Предыдущее экстренное обновление Google выпустила 30 октября. В нём исправили уязвимость нулевого дня CVE-2022-3723, связанную с путаницей типов в движке javascript Chromium V8. Это уже не первая 0-day уязвимость, связанная с движком.
