„Google“ ištaisė esminį „Chrome“ trūkumą

July 05, 2022
ĮŽinios Interneto Apsauga

Pasak „Google“, buvo aptiktas anksčiau naudotas kritinis „Chrome for Windows“ saugos trūkumas, kuris yra pataisomas.

Keletas saugumo išnaudojimų buvo aptikti arba apie kuriuos pranešta „Google Chrome“ žiniatinklio naršyklėje, specialiai skirtoje „Windows“ įrenginiams. Stabilaus kanalo naujinimas (103.0.5060.114) pašalina trūkumus, kurie leistų nuotoliniams užpuolikams perimti sistemos valdymą per Javascript, atminties buferį arba atminties paskirstymo spragas.

Užrakintos grandininės tvoros iš arti — Joseph Ray / EyeEm / Getty Images

Atrodo, kad tik viena iš pabrėžtų saugumo problemų buvo aktyviai išnaudota atvirai, tačiau CVE-2022-2294, kaip žinoma, gali sukelti daug žalos ar kitų problemų. Tai vadinama „Krūvos buferio perpildymu“, ypač WebRTC, leidžiančiu garso ir vaizdo ryšiui veikti įvairiose žiniatinklio naršyklėse. Šiais laikais tai yra svarbi savybė.

Išnaudojami užpuolikai gali perrašyti atminties buferį, kad vykdytų savo komandas. Tai gali turėti įtakos bet kuriam procesui konkrečioje operacinėje sistemoje arba jį tiesiogiai valdyti, jei jis nėra tinkamai apsaugotas.

Iš arti inžinieriaus ranka rašo kompiuterio klaviatūra — Nattakorn Maneerat / Getty Images

Kitas atrastas išnaudojimas – „Use After Free“. „Chrome“ OS klaida ir „Type Confusion“ klaida, kurią galima panaudoti norint apgauti „Chrome“ paleisti kodą – atrodo, kad nebuvo panaudota. Taigi, nors saugumo trūkumai egzistuoja, niekas be tyrėjų, kurie juos atrado, negalėjo pasinaudoti.

Stabilaus kanalo naujinimas, skirtas „Chrome“ asmeniniame kompiuteryje, buvo atnaujintas ir naudotojams turėtų būti pristatytas per kelias ateinančias dienas (ar galbūt savaites). Atnaujinimas turėtų būti pritaikytas automatiškai iš naujo paleidus „Chrome“, bet jūs taip pat galite atnaujinti rankiniu būdu jei nenori laukti.