Сегодня 23 сентября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Google закрыла восьмую за 2023 год уязвимость нулевого дня в Chrome

Google выпустила срочное обновление, устраняющее недавно обнаруженную уязвимость CVE-2023-7024 в браузере Chrome. Это уже восьмая в этом году уязвимость нулевого дня в браузере, и она активно эксплуатируется злоумышленниками, признал разработчик.

 Источник изображения: Growtika / unsplash.com

Источник изображения: Growtika / unsplash.com

Уязвимость за номером CVE-2023-7024 вызывает ошибку переполнения буфера в модуле Chrome WebRTC и позволяет выполнять код удалённо. WebRTC предназначается для установки связи в реальном времени через API и, этот проект пользуется широкой поддержкой среди ведущих разработчиков браузеров. При эксплуатации уязвимости удалённое выполнение кода производится в процессе рендеринга за пределами изолированной программной среды JavaScript. Это может стать первым шагом в цепочке эксплойтов, но потребуется эксплуатация и других уязвимостей для выхода из песочницы либо в браузере, либо на уровне ОС. Самой же CVE-2023-7024 из-за «многопроцессной архитектуры Chrome» недостаточно ни для получения доступа к файлам, ни для развёртывания вредоносного ПО — точка опоры злоумышленника исчезает при закрытии соответствующей вкладки.

Присутствующая в Chrome функция Site Isolation не позволит при эксплуатации уязвимости получить банковскую информацию жертвы, но не исключается атака с одного сайта на другой, если оба отдаются по разным поддоменам одного и того же домена второго уровня. Уязвимость может эксплуатироваться сайтом, не требуя каких-либо действий пользователя, кроме открытия вредоносной страницы — его согласие требуется для доступа к микрофону или веб-камере, а доступ к среде WebRTC оказывается уже открытым. В случае мобильного Chrome открывается дополнительная угроза: в некоторых сценариях из-за небольших объёмов оперативной памяти в едином процессе рендеринга оказываются несколько сайтов.

Учитывая популярность и открытую кодовую базу Chromium, уязвимость затрагивает и другие браузеры на той же платформе. Учитывая, что ошибка активно эксплуатируется, уже могут быть скомпрометированы системы некоторого числа пользователей — некоторые не спешат с обновлением ПО, а значит, хакеры могут продолжать атаки не один месяц.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Запускать Android-игры на ПК стало проще — «Google Play Игры» вышло из трёхлетнего бета-теста 7 мин.
ИИ-помощник Google Gemini пропишется в миллионах телевизоров 10 мин.
Microsoft запустила программу Windows AI Labs для тестирования будущих ИИ-функций 11 мин.
Sony подтвердила слухи о сентябрьской презентации State of Play: где, когда и что покажут 59 мин.
ИИ придумает новое мороженое для миллионов людей по всему миру — Magnum применит ИИ от NotCo 2 ч.
Европа проверит, хорошо ли Apple, Google, Microsoft и Booking борются с мошенниками 3 ч.
Huawei HarmonyOS уже шестой квартал подряд остаётся популярнее Apple iOS в Китае 4 ч.
Разработчики Palworld анонсировали Palworld: Palfarm — уютный симулятор фермерской жизни, где можно сыграть в русскую рулетку 5 ч.
Белорусы теперь могут оплачивать покупки на Wildberries криптовалютой, но есть нюансы 5 ч.
OpenAI запустила подписку ChatGPT Go дешевле $5 в месяц в ещё одной стране 5 ч.