Сегодня 04 июня 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Google закрыла восьмую за 2023 год уязвимость нулевого дня в Chrome

Google выпустила срочное обновление, устраняющее недавно обнаруженную уязвимость CVE-2023-7024 в браузере Chrome. Это уже восьмая в этом году уязвимость нулевого дня в браузере, и она активно эксплуатируется злоумышленниками, признал разработчик.

 Источник изображения: Growtika / unsplash.com

Источник изображения: Growtika / unsplash.com

Уязвимость за номером CVE-2023-7024 вызывает ошибку переполнения буфера в модуле Chrome WebRTC и позволяет выполнять код удалённо. WebRTC предназначается для установки связи в реальном времени через API и, этот проект пользуется широкой поддержкой среди ведущих разработчиков браузеров. При эксплуатации уязвимости удалённое выполнение кода производится в процессе рендеринга за пределами изолированной программной среды JavaScript. Это может стать первым шагом в цепочке эксплойтов, но потребуется эксплуатация и других уязвимостей для выхода из песочницы либо в браузере, либо на уровне ОС. Самой же CVE-2023-7024 из-за «многопроцессной архитектуры Chrome» недостаточно ни для получения доступа к файлам, ни для развёртывания вредоносного ПО — точка опоры злоумышленника исчезает при закрытии соответствующей вкладки.

Присутствующая в Chrome функция Site Isolation не позволит при эксплуатации уязвимости получить банковскую информацию жертвы, но не исключается атака с одного сайта на другой, если оба отдаются по разным поддоменам одного и того же домена второго уровня. Уязвимость может эксплуатироваться сайтом, не требуя каких-либо действий пользователя, кроме открытия вредоносной страницы — его согласие требуется для доступа к микрофону или веб-камере, а доступ к среде WebRTC оказывается уже открытым. В случае мобильного Chrome открывается дополнительная угроза: в некоторых сценариях из-за небольших объёмов оперативной памяти в едином процессе рендеринга оказываются несколько сайтов.

Учитывая популярность и открытую кодовую базу Chromium, уязвимость затрагивает и другие браузеры на той же платформе. Учитывая, что ошибка активно эксплуатируется, уже могут быть скомпрометированы системы некоторого числа пользователей — некоторые не спешат с обновлением ПО, а значит, хакеры могут продолжать атаки не один месяц.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Дождались, но не «бету»: российский MMO-шутер Pioner скоро получит мультиплеерную демоверсию 7 ч.
«Металюди» пойдут в народ: Epic упростила создание гиперреалистичных персонажей в Unreal Engine 8 ч.
Sony анонсировала большой июньский выпуск State of Play — он посвящён играм для PS5, которые нельзя пропускать 11 ч.
Nvidia App получило светлую тему и оптимальные настройки для 12 новых игр 12 ч.
Universal, Warner и Sony предложили ИИ-разработчикам лицензировать музыку для обучения нейросетей 13 ч.
Суд признал деятельность создателей «Мира танков» экстремистской и передал активы государству — в «Леста Игры» с решением «в корне не согласны» 14 ч.
Скорость распространения Windows 11 замедлилась 15 ч.
На МКС заработает российский ИИ — осенью там запустят GigaChat «Сбера» 17 ч.
Разработчик-одиночка анонсировал «Знамя победы» — гибрид стратегии и экшена на полях сражений Второй мировой войны 17 ч.
Рынок российского инфраструктурного ПО достиг уровня 2021 года 18 ч.
Nvidia утверждает, что консоль Switch 2 использует ИИ для улучшения игрового процесса 2 ч.
Samsung намекнула на выпуск ультратонкого смартфона-книжки Galaxy Z Fold 7 Ultra 5 ч.
Россия намерена запустить более 880 интернет-спутников до 2030 года 6 ч.
Broadcom представила самые быстрые в мире Ethernet-коммутаторы Tomahawk 6: 102,4 Тбит/с на чип и 1,6 Тбит/с на порт 6 ч.
Новая статья: Обзор Midea VCR S20 Plus: робот-пылесос — друг человека! 7 ч.
Шанс столкновения Млечного Пути с Андромедой упал до 50 % — но только на ближайшие 10 млрд лет 8 ч.
Представлена Arctis Nova 3 — самая доступная беспроводная гарнитура SteelSeries 10 ч.
Госкорпорация «Роскосмос» будет развивать космический туризм на базе Российской орбитальной станции 11 ч.
Мировые продажи памяти DRAM упали на 5,5 % в первом квартале — сильнее всех просела Samsung 12 ч.
Представлены российские смарт-часы Neyrox Pro с мониторингом нейрокилокалорий и сахара в крови 13 ч.