4 июля 2022 года Google выпустила исправление для устранения угрозы CVE-2022-2294, уязвимости системы безопасности, обнаруженной в веб-браузере Chrome.
Google заявил, что это новое обновление (версия 103.0.5060.114) будет доступно для всех пользователей Chrome по всему миру в течение нескольких недель. Пользователям было рекомендовано обновить свое программное обеспечение и установить это «критическое исправление безопасности» как можно скорее, чтобы не стать жертвой этой уязвимости.
Это четвертый нулевой день Chrome в 2022 году
Хотя уязвимость CVE-2022-2294 в настоящее время эксплуатируется, Google еще не опубликовал много информации о том, как ее обнаружить. Компания просто опубликовала краткое обновление Блог релизов Google Chrome.
Уязвимость CVE-2022-2294 уже использовалась злоумышленниками и была обнаружена только 1 июля, когда Ян Войтесек из группы Avast Threat Intelligence сообщил об уязвимости.
Эта угроза связана с недостатком переполнения динамической памяти в компоненте Chrome Web Real-Time Communication (Web RTC), который предоставляет браузеру возможности обмена данными в реальном времени. Эта уязвимость, также известная как «разгром кучи» или «переполнение кучи», в дикой природе может привести к вредоносным атакам типа «отказ в обслуживании» (DoS).
Информация об уязвимости, вероятно, была скрыта, чтобы киберпреступники не узнали о ней слишком много. Но мы знаем, что это уже четвертая уязвимость нулевого дня, исправленная в этом году. Предыдущие недостатки включают в себя:
- CVE-2022-0609 (14 февраля)
- CVE-2022-1096 (25 марта)
- CVE-2022-1364 (14 апреля)
Обновите Google Chrome как можно скорее
Поскольку этот конкретный эксплойт нулевого дня (что такое эксплойты нулевого дня?) имеет высокий уровень риска с точки зрения риска, обновление браузера Chrome должно быть приоритетом.
Если вы используете устройство под управлением macOS, Linux или WIndows, рекомендуется загрузить версию 103.0.5060.114. Если вы используете устройство на базе Android, рекомендуется выполнить обновление до версии 103.0.5060.71.
В большинстве случаев Chrome автоматически установит это обновление, но не сделает этого, если функция автоматического обновления отключена. Проверьте настройки своего браузера, чтобы убедиться, что вы настроены на автоматические обновления, или вам нужно установить новейшую версию Chrome вручную.
Будущие эксплойты нулевого дня всегда возможны
Со временем мы можем увидеть будущие уязвимости нулевого дня в веб-браузере Chrome. Хотя это всегда будет риском, мы надеемся, что быстрые ответы Google снизят любой ущерб, нанесенный злоумышленниками, которые используют подобную уязвимость.
