Google выпустил необычное обновление Chrome 99.0.4844.84 для Windows, macOS и Linux; исправление уязвимости нулевого дня, которую использовали злоумышленники. Подробностей об этой уязвимости компания пока не раскрывает; ждет, пока браузеры получат обновление для большинства пользователей.
«Google стало известно о существовании эксплойта для [vulnerability] CVE-2022-1096», — говорится в сообщении компании. утверждение. Обновление браузера Chrome 99.0.4844.84 уже распространяется на канале Stable Desktop; при этом компания заявляет, что вся ее пользовательская база получит его в течение следующих дней или недель. Обновления автоматически устанавливаются в фоновом режиме, но вы можете ускорить процесс; выбрав в меню программы пункт «Помощь» и перейдя в подпункт «О Google Chrome»; и после установки последней версии браузер нужно будет перезапустить.
Исправленной уязвимости был присвоен номер CVE-2022-1096 — она связана с отсутствием проверки типов объектов движком JavaScript Chrome V8, и о ней сообщил анонимный специалист по кибербезопасности. Успешная эксплуатация таких ошибок позволяет читать или записывать данные в память вне буфера; и злоумышленники могут запускать произвольный код для выполнения.
Google срочно устраняет загадочную уязвимость нулевого дня в Chrome
Поскольку Google обнаружила существование и использование эксплойта для этой уязвимости, но не раскрыла подробностей о ее природе. «Доступ к сведениям об ошибках и ссылкам может быть ограничен, пока большинство пользователей не получат обновление с исправлением. Мы также сохраним ограничения, если ошибка присутствует в сторонней библиотеке, от которой аналогичным образом зависят другие проекты, которые еще не получили исправления», — говорится в сообщении компании.
Также за текущий год это второе исправление уязвимости нулевого дня от Google, которая уже использовалась злоумышленниками. Ранее стало известно об ошибке номер CVE-2022-0609; с помощью которого две группы северокорейских хакеров, как заявили в компании, предприняли масштабную атаку.
Как сообщает британское издание The Register со ссылкой на сотрудника Google Адама Вайдеманна, уязвимость Chrome была выявлена 10 февраля, а эксплуатировалась как минимум с 4 января — ошибка в программе позволяла скомпрометировать браузер жертвы, захватить управление компьютером и осуществление наблюдения. «Целевой аудиторией» северокорейских спецслужб были сотрудники американских компаний; в сфере медиа, высоких технологий, криптовалюты и финтеха; но не исключено, что злоумышленники работали и в других странах и отраслях.
Добавить комментарий