Google выпускает патч для серьезной уязвимости нулевого дня браузера Chrome для Windows и Android

Google срочно выпускает исправление для Chrome из-за ошибки, влияющей на стек WebRTC в браузере, который подвергается атаке.

О бновление Chrome 103 для Windows исправляет недостаток в реализации WebRTC, который, по утверждению Google, уже подвергается атаке.

Проблема, которую призвано ликвидировать обновление Chrome 103.0.5060.114 для Windows, — это «переполнение буфера в WebRTC», когда буфер может быть перезаписан со злонамеренными целями.

WebRTC — это открытый веб-стандарт для создания видео- и голосовых приложений для связи в реальном времени (RTC). Он реализован с помощью JavaScript и поддерживается всеми основными поставщиками браузеров.

Google не предоставила никаких подробностей об ошибке, кроме того, что ей присвоен идентификатор CVE-2022-2294, она имеет «высокий» рейтинг серьезности, и что Ян Войтесек из команды Avast Threat Intelligence сообщил Google 1 июля.

Тем не менее, компания подтвердила, что уязвимость эксплуатируется. «Google знает, что эксплойт для CVE-2022-2294 существует в дикой природе», — говорится в сообщении, анонсирующем стабильный выпуск Chrome для настольных компьютеров.

Запись MITRE о переполнении буфера сообщает: «Переполнения могут использоваться для перезаписи указателей на функции, которые могут сохраняться в памяти, указывая на код злоумышленника. Многие из указателей на функции остаются в памяти даже при выполнения приложений, которые не используют указатели на функции прямо. Например, объектные методы в C++ обычно реализуются с использованием указателей на функции. Даже в программах на языке Си часто существует глобальная таблица смещений, используемая базовой средой выполнения».

Google заявляет, что не раскрывает подробностей об ошибках до тех пор, пока большинство пользователей не получат исправления.

Обновление также исправляет два других серьезных недостатка. CVE-2022-2295 — это путаница типов в движке JavaScrip версии Chrome V8, в то время как CVE-2022-2296 — проблема с памятью use-after-free в оболочке Chrome OS.

По состоянию на 15 июня проект безопасности Google Project Zero (GPZ) насчитал с начала года уже 18 уязвимостей нулевого дня, которые эксплуатировались в природе. Две из них затронули Chrome.

Исследователь GPZ Мэдди Стоун заявила, что по крайней мере половину этих уязвимостей «можно было бы предотвратить с помощью более комплексных исправлений и регрессионных тестов».

Многие из уязвимостей нулевого дня в первой половине 2022 года были просто вариантами ранее исправленных ошибок в Microsoft Windows, Apple iOS и WebKit, а также Google Chrome. Как она отметила, первопричина не была устранена, что позволило злоумышленникам вернуться к исходной ошибке другим путем.

«Цель состоит в том, чтобы заставить злоумышленников начинать с нуля каждый раз, когда мы обнаруживаем один из их эксплойтов, чтобы они были вынуждены искать совершенно новую уязвимость, чтобы им приходилось тратить время на изучение и анализ новой поверхности атаки и разработать совершенно новый метод эксплуатации. Чтобы делать это эффективно, нам нужны правильные и всесторонние исправления», — сказала она.

Источник: zdnet.com

05.07.2022 Автор Елена Кузнецова

Источник: it-world.ru

Информируем Вас о курсах на сайте Института прикладной автоматизации и программирования (ИПАП) для IT-специалистов по программированию и информационной безопасности:

Информационная безопасность и шифрование данных

Системный администратор

DevOps инженер

Программирование на Java с нуля

Алгоритмизация и структурное программирование на C++

Язык программирования Visual C#. Создание .Net Framework приложений

Программирование на языке Python. 1 уровень

Посмотреть больше курсов

Наверх

Ваше сообщение