Сегодня 11 марта 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Google закрыла восьмую за 2023 год уязвимость нулевого дня в Chrome

Google выпустила срочное обновление, устраняющее недавно обнаруженную уязвимость CVE-2023-7024 в браузере Chrome. Это уже восьмая в этом году уязвимость нулевого дня в браузере, и она активно эксплуатируется злоумышленниками, признал разработчик.

 Источник изображения: Growtika / unsplash.com

Источник изображения: Growtika / unsplash.com

Уязвимость за номером CVE-2023-7024 вызывает ошибку переполнения буфера в модуле Chrome WebRTC и позволяет выполнять код удалённо. WebRTC предназначается для установки связи в реальном времени через API и, этот проект пользуется широкой поддержкой среди ведущих разработчиков браузеров. При эксплуатации уязвимости удалённое выполнение кода производится в процессе рендеринга за пределами изолированной программной среды JavaScript. Это может стать первым шагом в цепочке эксплойтов, но потребуется эксплуатация и других уязвимостей для выхода из песочницы либо в браузере, либо на уровне ОС. Самой же CVE-2023-7024 из-за «многопроцессной архитектуры Chrome» недостаточно ни для получения доступа к файлам, ни для развёртывания вредоносного ПО — точка опоры злоумышленника исчезает при закрытии соответствующей вкладки.

Присутствующая в Chrome функция Site Isolation не позволит при эксплуатации уязвимости получить банковскую информацию жертвы, но не исключается атака с одного сайта на другой, если оба отдаются по разным поддоменам одного и того же домена второго уровня. Уязвимость может эксплуатироваться сайтом, не требуя каких-либо действий пользователя, кроме открытия вредоносной страницы — его согласие требуется для доступа к микрофону или веб-камере, а доступ к среде WebRTC оказывается уже открытым. В случае мобильного Chrome открывается дополнительная угроза: в некоторых сценариях из-за небольших объёмов оперативной памяти в едином процессе рендеринга оказываются несколько сайтов.

Учитывая популярность и открытую кодовую базу Chromium, уязвимость затрагивает и другие браузеры на той же платформе. Учитывая, что ошибка активно эксплуатируется, уже могут быть скомпрометированы системы некоторого числа пользователей — некоторые не спешат с обновлением ПО, а значит, хакеры могут продолжать атаки не один месяц.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Илон Маск сообщил о масштабной атаке на X, которая привела к сбоям в работе соцсети 11 ч.
Для Stardew Valley вышел мод Baldur’s Village с персонажами из Baldur’s Gate 3 — Свен Винке одобряет 12 ч.
Тонущая Atos неожиданно получила «золотой» контракт от британского госбанка 13 ч.
Продажи Split Fiction за два дня превысили миллион копий — It Takes Two на достижение этой вершины понадобился почти месяц 14 ч.
Спустя три года игры серий Company of Heroes и Warhammer 40,000: Dawn of War вернулись в российский Steam 16 ч.
Календарь релизов — 10–16 марта: Wanderstop, Rise of the Ronin на ПК и Beyond the Ice Palace 2 16 ч.
Сбой в X сделал соцсеть недоступной для десятков тысяч пользователей 16 ч.
Microsoft скоро начнёт масштабное внедрение ИИ Copilot в видеоигры 16 ч.
Kingdom Come: Deliverance 2 получит версию без DRM-защиты уже совсем скоро — объявлена дата выхода игры в GOG 20 ч.
Foxconn представила свою первую ИИ-модель FoxBrain — она умеет рассуждать и была обучена с помощью Nvidia 20 ч.
Новая статья: Обзор смартфона Samsung Galaxy S25 Ultra: пора бы и ускориться 8 ч.
Новая статья: ИИтоги февраля 2025 г.: неопределённость нарастает 10 ч.
PlayStation 5 Pro получит технологию ИИ-масштабирования, подобную AMD FSR 4 11 ч.
ИИ и VMware: хорошие квартальные результаты и оптимистичный прогноз подстегнули рост акций Broadcom 11 ч.
Asus выпустила мониторы VU Air Ionizer со встроенным ионизатором воздуха 14 ч.
TSMC захватила 2/3 мирового рынка контрактного производства чипов благодаря ИИ — спрос на зрелые техпроцессы упал 15 ч.
Apple не оставила попытки создать умные очки, но вряд ли сможет сделать прорывной продукт 16 ч.
Microsoft вложит ещё $300 млн в облачную и ИИ-инфраструктуру в Южной Африке 16 ч.
Российские силовики столкнулись с дефицитом инструментов для взлома iPhone и других смартфонов 16 ч.
Goldman Sachs: китайские телеком-операторы станут крупнейшими бенефициарами ИИ-бума, раньше всех взяв на вооружение продукты DeepSeek 16 ч.