Google Chrome-ի նոր թարմացումը փակում է 10 վտանգավոր խոցելիություն

Google ընկերությունը թողարկել է Chrome բրաուզերի 100.0.4896.60 թարմացումը, որը փակում է 28 խոցելիություն։ Դրանցից առնվազն 9-ն ունեն վտանգի բարձր վարկանիշ՝ ի լրումն CVE-2022-1096-ի, որը Google-ը փակել է առանձին պատչով։ Արդյունքում ընկերությունը մեկ շաբաթից պակաս ժամանակահատվածում թողարկել է վտանգի High վարկանիշ ունեցող 10 խոցելիության կարկատան, ինչը խոսում է բրաուզերի հրատապ թարմացման անհրաժեշտության մասին: Այս մասին հայտնում է «Կասպերսկի» ընկերությունը։

«Առայժմ Google-ը մանրամասներ չի հրապարակել խոցելիություններից ոչ մեկի մասին. ընկերության անվտանգության քաղաքականության համաձայն՝ խնդրի մանրամասն նկարագրության հասանելիությունը մնում է փակ, մինչեւ ակտիվ օգտատերերի մեծ մասը չթարմացնի բրաուզերը։ Սակայն արդեն հասկանալի է, որ ամենամեծ տագնապը հարուցում է հենց CVE-2022-1096 խոցելիությունը, որը Google-ում փակել են առանձին պատչով»,- նշում են ընկերության փորձագետները։

Նրանց տվյալներով՝ CVE-2022-1096-ը վերաբերում է Type Confusion դասին, այսինքն՝ կապված է V8 շարժակում տվյալների տիպերի սխալի հետ։ Դրա վտանգի աստիճանի մասին անուղղակիորեն վկայում է արտակարգ պատչի թողարկման փաստը։ Բացի այդ, Google-ը տիրապետել է տեղեկատվության այն մասին, որ այդ խոցելիության էքսպլոյտն արդեն գոյություն ունի։ Նույն խոցելիությունը Chromium-ի վրա հիմնված Edge բրաուզերում փակել է նաև Microsoft ընկերությունը։ Այս ամենը կարող է նշանակել, որ խոցելիության էքսպլոյտը ոչ միայն գոյություն ունի, այլեւ ակտիվորեն օգտագործվում է չարագործների կողմից:

Из 28 уязвимостей, которые закрывает последнее обновление, большая часть (20) была обнаружена сторонними экспертами, а восемь оставшихся — внутренними специалистами Google. Из девяти новых уязвимостей со степенью опасности High четыре (CVE-2022-1125, CVE-2022-1127, CVE-2022-1131, CVE-2022-1133) относятся к классу use after free; три (CVE-2022-1128, CVE-2022-1129 и CVE-2022-1132) связаны с несоответствующей реализаций (inappropriate implementation) в различных компонентах; одна (CVE-2022-1130) заключается в недостаточной проверке входящих данных в WebOTP и еще одна (CVE-2022-1134), как и вышеупомянутая CVE-2022-1096, заключается в ошибке в типах данных в движке V8.

По мнению экспертов, для защиты от указанных уязвимостей необходимо обновить браузер до последней версии 100.0.4896.60. Следует проверить, если версия Chrome отличается, значит, браузер не обновился автоматически, и его надо обновить вручную. Если используется Microsoft Edge, то нужно обновить и его. Также рекомендуется своевременно обновлять критически важные программы, к которым относятся защитные решения, браузеры, офисные пакеты и сама операционная система. Кроме того, необходимо использовать надежные защитные решения, которые способны автоматически выявлять и предотвращать попытки эксплуатации уязвимостей, таким образом защищая от атак еще до выхода официальных патчей.