Google odpravlja kritično napako v Chromu

Prej izkoriščena kritična varnostna napaka v Chromu za Windows je bila odkrita in je v postopku popravka, glede na Google.

Več varnostnih podvigov so bili odkriti ali prijavljeni v Googlovem spletnem brskalniku Chrome, posebej za naprave Windows. Posodobitev stabilnega kanala (103.0.5060.114) odpravlja napake, ki bi oddaljenim napadalcem omogočile prevzem nadzora nad sistemom prek Javascripta, pomnilniškega medpomnilnika ali ranljivosti dodeljevanja pomnilnika.

Zdi se, da je bila samo ena od poudarjenih varnostnih težav aktivno odkrito izkoriščena, vendar bi lahko CVE-2022-2294, kot je znano, povzročil veliko škode ali drugih težav. To je tisto, čemur pravimo "prelivanje medpomnilnika kopice", zlasti v WebRTC, kar omogoča, da avdio in video komunikacija deluje v različnih spletnih brskalnikih. Nekako pomembna lastnost v teh dneh.

Pri izkoriščanju lahko napadalci prepišejo pomnilniški medpomnilnik, da izvedejo lastne ukaze. Lahko povzroči vpliv ali neposreden nadzor nad katerim koli procesom v danem operacijskem sistemu, če ta ni ustrezno zaščiten.

Drugi odkriti podvigi – uporaba po brezplačni uporabi napaka v sistemu Chrome OS in napaka Type Confusion, ki bi se lahko uporabila za pretentanje Chroma v izvajanje kode – zdi se, da nista bila uporabljena. Čeprav varnostne napake res obstajajo, jih ni mogel izkoristiti nihče razen raziskovalcev, ki so jih odkrili.

Posodobitev stabilnega kanala za Chrome v računalniku je bila posodobljena in bi morala biti uporabnikom na voljo v naslednjih nekaj dneh (ali morda tednih). Posodobitev bi se morala samodejno uporabiti po ponovnem zagonu Chroma, lahko pa tudi posodobite ročno če nočeš čakati.