Google пуска корекция за уязвимостта на Chrome zero-day

Google LLC започна да пуска корекция за критична уязвимост в сигурността, засягаща десктоп версията на техния браузър Chrome.

Компанията разкри хода в четвъртък блог пост. Уязвимостта, проследявана като CVE-2022-4135, засяга версиите на Chrome за Windows, Mac и Linux. Google заяви, че корекцията ще бъде разпространена през следващите дни и седмици.

„Google е наясно със съществуването на експлойт за CVE-2022-4135 в природата“, посочва компанията в публикацията в блога. Наличието на експлойта показва, че хакерите може да са насочени към уязвими инсталации на браузъра Chrome.

Изследователите измерват сериозността на уязвимостите на софтуера, използвайки индустриална стандартна рамка, известна като CVSS. Според Google сериозността на CVE-2022-4135 е оценена като висока в рамката на CVSS. Това е вторият най-висок рейтинг на сериозност, който уязвимостта може да получи след критична.

CVE-2022-4135 засяга компонент на Chrome, известен като Process Viewer. Когато потребител посети уеб страница, Chrome изтегля страницата под формата на набор от кодови файлове. Процесът на изобразяване на Chrome е отговорен за превръщането на кодовите файлове в работеща уеб страница, с която потребителят може да взаимодейства.

От съображения за киберсигурност, браузърът на Google изпълнява всяка уеб страница в т.нар пясъчник. Sandboxing предотвратява достъпа на кода в страницата до ключови компоненти на операционната система на потребителя. Според Google това затруднява злонамерения код да се закрепи на компютъра на потребителя.

CVE-2022-4135, наскоро коригирана уязвимост в Chrome, потенциално позволява на хакерите да заобиколят механизма за пясъчна среда на Chrome. Заобикалянето на механизма улеснява злонамерения софтуер да манипулира операционната система на потребителя. Според а обяснител Издадена от Националния институт за стандарти и технологии, хакерите могат да се насочат към CVE-2022-4135, използвайки злонамерени уеб страници.

Уязвимостта отваря вратата за кибератаки, защото позволява на хакерите да създадат феномен, известен като препълване на буфера.

Програми като Chrome съхраняват както кода, така и данните, които обработва, в паметта на компютъра на потребителя. Паметта, използвана от програмата, докато тя работи, е разделена на секции, известни като буфери. Единият буфер може да съдържа част от изходния код на Chrome, докато другият може да съдържа част от уеб страницата, която потребителят е отворил.

Препълване на буфер възниква, когато в буфера се записват повече данни, отколкото може да побере. Излишните данни се записват в други буфери, като презаписват информацията, която съдържат. Хакерите могат да използват този феномен, за да презапишат части от програмата със злонамерен код.

Корекцията на Google за грешката при препълване на кеша в Chrome се пуска около три месеца след компанията инсталиран Друга много сериозна уязвимост засегна браузъра. Според Google последната уязвимост е открита в една от библиотеките за изпълнение на Chrome. Библиотеката за изпълнение е част от софтуера, от която зависи работата на друга програма.

Изображение: Google

Покажете подкрепата си за нашата мисия, като се присъедините към нашата общност от експерти на Cube Club и Cube Event. Присъединете се към общността, която включва Amazon Web Services и главен изпълнителен директор на Amazon.com Анди Джаси, основател и главен изпълнителен директор на Dell Technologies Майкъл Дел, главен изпълнителен директор на Intel Пат Гелсингер и много други високопоставени лица и експерти.