Немедленно обновите браузер Google Chrome для устранения новой уязвимости нулевого дня

Google в понедельник выпустила обновление безопасности для своего браузера Chrome, которое исправляет проблемы безопасности, стабильности и производительности, включая уязвимость нулевого дня. Проблема затрагивает Chrome на Windows, Mac и Android.

Chrome для Windows был обновлен до версии 103.0.5060.114, которая включает четыре исправления безопасности, три из которых были выделены Google и были предоставлены внешними исследователями:

• Высокий CVE-2022-2294: Переполнение буфера кучи в WebRTC. Сообщено Яном Войтешеком из команды Avast Threat Intelligence 2022-07-01

• Высокий CVE-2022-2295: Ошибка путаницы типов в V8. Сообщено avaue и Buff3tts в S.S.L. 2022-06-16

• Высокий CVE-2022-2296: Использование после освобождения в оболочке Chrome OS. Сообщено Халилом Жани 2022-05-19

Уязвимость высокой степени серьезности (CVE-2022-2294) является ошибкой переполнения буфера кучи, которая существует в WebRTC, движке, который обеспечивает браузеру возможность реального времени для связи. Если ее использовать, эта уязвимость может позволить атаки отказа в обслуживании или, в некоторых случаях, выполнение произвольного кода на вашем компьютере, что может дать хакерам полный доступ к вашему ПК.

“Google осведомлена о том, что эксплойт для CVE-2022-2294 существует в дикой природе,” согласно понедельничному уведомлению Google о безопасности для Windows. “Стабильный канал был обновлен до 103.0.5060.114 для Windows, который будет развернут в течение следующих дней/недель.”

Google говорит, что не раскрывает детали об эксплойтах или уязвимостях, пока большинство пользователей не обновятся с исправлением. Она также может сохранить ограничения, если ошибка существует в библиотеке третьей стороны, от которой зависят другие проекты, но которые еще не исправлены.

Кроме исправления уязвимости нулевого дня переполнения буфера, Google в понедельник также выпустила патч для исправления двух других уязвимостей высокой степени серьезности, которые включают ошибку путаницы типов в движке JavaScript V8, отслеживаемую как CVE-2022-2295, и ошибку использования после освобождения в оболочке Chrome OS, отслеживаемую как CVE-2022-2296.

В дополнение к Chrome для Windows, исправления также были выпущены в Chrome для Android версии 103.0.5060.71 для CVE-2022-2294 и CVE-2022-2295. Кроме того, канал Chrome Extended Stable был обновлен до 102.0.5005.148 для Windows и Mac для исправления CVE-2022-2294.

Если вы являетесь пользователем Chrome на Windows или Mac, рекомендуется обновить ваш браузер как можно скорее. Чтобы проверить, доступно ли обновление для вас, вы можете нажать на меню с тремя точками в правом верхнем углу окна Chrome и перейти в Меню Chrome > Справка > О Google Chrome или открыть страницу Chrome, введя chrome://settings/help в вашем браузере.

С этим обновлением Google устранила четвертую уязвимость нулевого дня Chrome в 2022 году, которая включает одну в феврале (CVE-2022-0609), марте (CVE-2022-1096) и апреле (CVE-2022-1364).