Бесплатно Экспресс-аудит сайта:

19.08.2022

Google исправила пятую 0-day уязвимость в Chrome, используемую в дикой природе

Во вторник Google выпустила набор исправлений для Chrome, устраняющий опасную уязвимость нулевого дня. Отслеживаемая под идентификатором CVE-2022-2856, брешь в защите связана с недостаточной проверкой вводимых данных в Intents . Уязвимость была обнаружена специалистами Google Threat Analysis Group Эшли Шен и Кристиан Реселл, которые сообщили о ней 19 июля 2022 года.

Как и обычно, Google не разглашает никаких технических подробностей об уязвимости, чтобы не спровоцировать еще большую волну атак на пользователей. Однако, IT-гигант признал , что эксплойт для CVE-2022-2856 существует в дикой природе.

Кроме 0-day, последнее обновление устранило 10 других брешей в защите браузера, большая часть которых возникает из-за уязвимости Use-After-Free, связанной с некорректным использованием динамической памяти в процессе работы компонентов FedCM, SwiftShader, ANGLE и Blink. Еще Google устранила возможность переполнения буфера в Downloads.

Эксперты рекомендуют пользователям обновить Google Chrome до версии 104.0.5112.101 (для macOS и Linux) или 104.0.5112.102/101 (для Windows). Пользователям браузеров на базе Chromium (Microsoft Edge, Brave, Opera и Vivaldi) тоже рекомендуется применить исправления по мере их появления.

И если мы говорим о патчах, то стоит обратить внимание на обновления macOS 12.5.1, iOS 15.6.1 и iPadOS 15.6.1. В них Apple исправила две критические уязвимости:

  • CVE-2022-32894 – уязвимость в ядре, которая может быть использована злоумышленником для получения полного контроля над Mac или другим устройством от Apple;
  • CVE-2022-32893 – уязвимость в WebKit, которую злоумышленники могут использовать для выполнения произвольного кода.

Если хакеры решат использовать обе уязвимости одновременно, то в их руках может оказаться грозное оружие, позволяющее с помощью вредоносной страницы в Safari начать выполнение произвольного кода, а затем повысить привилегии злоумышленника на устройстве жертвы. А дальше все будет ограничиваться только фантазией хакера.

Специалисты Apple сообщили о том, что им известно об использовании этих уязвимостей в дикой природе и порекомендовали пользователям как можно скорее установить патч.