Сегодня 19 декабря 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Google закрыла восьмую за 2023 год уязвимость нулевого дня в Chrome

Google выпустила срочное обновление, устраняющее недавно обнаруженную уязвимость CVE-2023-7024 в браузере Chrome. Это уже восьмая в этом году уязвимость нулевого дня в браузере, и она активно эксплуатируется злоумышленниками, признал разработчик.

 Источник изображения: Growtika / unsplash.com

Источник изображения: Growtika / unsplash.com

Уязвимость за номером CVE-2023-7024 вызывает ошибку переполнения буфера в модуле Chrome WebRTC и позволяет выполнять код удалённо. WebRTC предназначается для установки связи в реальном времени через API и, этот проект пользуется широкой поддержкой среди ведущих разработчиков браузеров. При эксплуатации уязвимости удалённое выполнение кода производится в процессе рендеринга за пределами изолированной программной среды JavaScript. Это может стать первым шагом в цепочке эксплойтов, но потребуется эксплуатация и других уязвимостей для выхода из песочницы либо в браузере, либо на уровне ОС. Самой же CVE-2023-7024 из-за «многопроцессной архитектуры Chrome» недостаточно ни для получения доступа к файлам, ни для развёртывания вредоносного ПО — точка опоры злоумышленника исчезает при закрытии соответствующей вкладки.

Присутствующая в Chrome функция Site Isolation не позволит при эксплуатации уязвимости получить банковскую информацию жертвы, но не исключается атака с одного сайта на другой, если оба отдаются по разным поддоменам одного и того же домена второго уровня. Уязвимость может эксплуатироваться сайтом, не требуя каких-либо действий пользователя, кроме открытия вредоносной страницы — его согласие требуется для доступа к микрофону или веб-камере, а доступ к среде WebRTC оказывается уже открытым. В случае мобильного Chrome открывается дополнительная угроза: в некоторых сценариях из-за небольших объёмов оперативной памяти в едином процессе рендеринга оказываются несколько сайтов.

Учитывая популярность и открытую кодовую базу Chromium, уязвимость затрагивает и другие браузеры на той же платформе. Учитывая, что ошибка активно эксплуатируется, уже могут быть скомпрометированы системы некоторого числа пользователей — некоторые не спешат с обновлением ПО, а значит, хакеры могут продолжать атаки не один месяц.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Вечерний 3DNews
Каждый будний вечер мы рассылаем сводку новостей без белиберды и рекламы. Две минуты на чтение — и вы в курсе главных событий.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Samsung анонсировала первый в мире холодильник с элементами Пельтье и ИИ 3 ч.
DJI увернулась от запрета на продажи дронов в США, но ненадолго 4 ч.
Принято в эксплуатацию самое большое судно с роторными парусами — старая технология здорово экономит топливо 4 ч.
Анонсирован крошечный игровой ноутбук OneXplayer G1 на базе Ryzen 9 HX 370 с двумя клавиатурами 5 ч.
Регулятор NERC: ИИ представляет угрозу для североамериканской электросети 5 ч.
«В данном случае патриотизм не работает»: российские смартфоны так и не захватили рынок, в отличие от ноутбуков 6 ч.
SK hynix получит $458 млн субсидий на строительство фабрики чипов в США 7 ч.
Японские 2-нм чипы всё ближе: Rapidus получила первый литографический EUV-сканер ASML 8 ч.
SMR-стартап Oklo подписал сделку о поставке 12 ГВт оператору ЦОД Switch 9 ч.
Луна оказалась более древней, чем предполагалось — учёные дали новую оценку возраста спутника 9 ч.