Высокоопасная уязвимость в компоненте браузера Google Chrome, отвечающая за обработку анимации, позволяла запускать в системе произвольный код. Теоретически под угрозой могут быть и другие браузеры на базе Chromium.
Срочное обновление
Google выпустил экстренное обновление для браузера Chrome в связи с обнаружением в нем высокоопасной уязвимости, уже активно эксплуатируемой хакерами.
Баг CVE-2022-0609 связан с повторным использованием выделенной области памяти после ее освобождения (Use-after-free) в компоненте Animation. В случае успешной эксплуатации этой уязвимости возникает возможность запуска произвольного кода в системе.
Компания Google признала, что CVE-2022-0609 уже активно используется в атаках (существует общедоступный эксплойт) и порекомендовала установить обновление 98.0.4758.102 как можно скорее.
Оно также устраняет несколько других уязвимостей в разных компонентах GoogleChrome, в том числе четыре уязвимости того же класса (Use-after-free), которую пытаются эксплуатировать хакеры, а также переполнение буфера в TabGroups, целочисленное переполнение в Mojo и ошибку в GamepadAPI.
Ни одна из этих уязвимостей не считается критической, однако все, кроме ошибки в GamepadAPI, обозначены как высокоопасные. Информации о том, кто стал жертвами атак с помощью уязвимости CVE-2022-0609 и когда появился эксплойт к ней, пока нет.
Возможно, затронуты и другие браузеры
Не исключено, что другие браузеры на базе кода Chromium могут содержать те же уязвимости. Таких браузеров насчитывается более двух десятков, среди них — MicrosoftEdge и Opera. «Яндекс.браузер» также построен на базе исходного кода Chromium.
Пока информации о выпуске обновлений от вышеперечисленных уязвимостей для других браузеров на базе Chromium нет.
Обновление 98.0.4758.102 устраняет первую за 2022 г. уязвимость нулевого дня в браузере Chrome. За весь 2021 г. разработчики браузера опубликовали в общей сложности 17 исправлений к уязвимостям, о которых киберпреступникам стало известно раньше экспертов по безопасности.
«Браузеры относятся к числу наиболее используемых приложений, и поиском уязвимостей в них активно занимаются и эксперты по защите информации, и киберкриминал, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Обнаружение в них уязвимостей, которые можно эксплуатировать для компрометации систем, заведомо представляет большую удачу для киберпреступников, особенно если им удается найти слабые места первыми».
Источник: CNEWS