Google выпускает патч для серьезной уязвимости нулевого дня браузера Chrome для Windows и Android
Обновление Chrome 103 для Windows исправляет недостаток в реализации WebRTC, который, по утверждению Google, уже подвергается атаке.
Проблема, которую призвано ликвидировать обновление Chrome 103.0.5060.114 для Windows, — это «переполнение буфера в WebRTC», когда буфер может быть перезаписан со злонамеренными целями.
WebRTC — это открытый веб-стандарт для создания видео- и голосовых приложений для связи в реальном времени (RTC). Он реализован с помощью JavaScript и поддерживается всеми основными поставщиками браузеров.
Google не предоставила никаких подробностей об ошибке, кроме того, что ей присвоен идентификатор CVE-2022-2294, она имеет «высокий» рейтинг серьезности, и что Ян Войтесек из команды Avast Threat Intelligence сообщил Google 1 июля.
Тем не менее, компания подтвердила, что уязвимость эксплуатируется. «Google знает, что эксплойт для CVE-2022-2294 существует в дикой природе», — говорится в сообщении, анонсирующем стабильный выпуск Chrome для настольных компьютеров.
Запись MITRE о переполнении буфера сообщает: «Переполнения могут использоваться для перезаписи указателей на функции, которые могут сохраняться в памяти, указывая на код злоумышленника. Многие из указателей на функции остаются в памяти даже при выполнения приложений, которые не используют указатели на функции прямо. Например, объектные методы в C++ обычно реализуются с использованием указателей на функции. Даже в программах на языке Си часто существует глобальная таблица смещений, используемая базовой средой выполнения».
Google заявляет, что не раскрывает подробностей об ошибках до тех пор, пока большинство пользователей не получат исправления.
Обновление также исправляет два других серьезных недостатка. CVE-2022-2295 — это путаница типов в движке JavaScrip версии Chrome V8, в то время как CVE-2022-2296 — проблема с памятью use-after-free в оболочке Chrome OS.
По состоянию на 15 июня проект безопасности Google Project Zero (GPZ) насчитал с начала года уже 18 уязвимостей нулевого дня, которые эксплуатировались в природе. Две из них затронули Chrome.
Исследователь GPZ Мэдди Стоун заявила, что по крайней мере половину этих уязвимостей «можно было бы предотвратить с помощью более комплексных исправлений и регрессионных тестов».
Многие из уязвимостей нулевого дня в первой половине 2022 года были просто вариантами ранее исправленных ошибок в Microsoft Windows, Apple iOS и WebKit, а также Google Chrome. Как она отметила, первопричина не была устранена, что позволило злоумышленникам вернуться к исходной ошибке другим путем.
«Цель состоит в том, чтобы заставить злоумышленников начинать с нуля каждый раз, когда мы обнаруживаем один из их эксплойтов, чтобы они были вынуждены искать совершенно новую уязвимость, чтобы им приходилось тратить время на изучение и анализ новой поверхности атаки и разработать совершенно новый метод эксплуатации. Чтобы делать это эффективно, нам нужны правильные и всесторонние исправления», — сказала она.
Источник: zdnet.com