Сегодня 02 сентября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Google закрыла восьмую за 2023 год уязвимость нулевого дня в Chrome

Google выпустила срочное обновление, устраняющее недавно обнаруженную уязвимость CVE-2023-7024 в браузере Chrome. Это уже восьмая в этом году уязвимость нулевого дня в браузере, и она активно эксплуатируется злоумышленниками, признал разработчик.

 Источник изображения: Growtika / unsplash.com

Источник изображения: Growtika / unsplash.com

Уязвимость за номером CVE-2023-7024 вызывает ошибку переполнения буфера в модуле Chrome WebRTC и позволяет выполнять код удалённо. WebRTC предназначается для установки связи в реальном времени через API и, этот проект пользуется широкой поддержкой среди ведущих разработчиков браузеров. При эксплуатации уязвимости удалённое выполнение кода производится в процессе рендеринга за пределами изолированной программной среды JavaScript. Это может стать первым шагом в цепочке эксплойтов, но потребуется эксплуатация и других уязвимостей для выхода из песочницы либо в браузере, либо на уровне ОС. Самой же CVE-2023-7024 из-за «многопроцессной архитектуры Chrome» недостаточно ни для получения доступа к файлам, ни для развёртывания вредоносного ПО — точка опоры злоумышленника исчезает при закрытии соответствующей вкладки.

Присутствующая в Chrome функция Site Isolation не позволит при эксплуатации уязвимости получить банковскую информацию жертвы, но не исключается атака с одного сайта на другой, если оба отдаются по разным поддоменам одного и того же домена второго уровня. Уязвимость может эксплуатироваться сайтом, не требуя каких-либо действий пользователя, кроме открытия вредоносной страницы — его согласие требуется для доступа к микрофону или веб-камере, а доступ к среде WebRTC оказывается уже открытым. В случае мобильного Chrome открывается дополнительная угроза: в некоторых сценариях из-за небольших объёмов оперативной памяти в едином процессе рендеринга оказываются несколько сайтов.

Учитывая популярность и открытую кодовую базу Chromium, уязвимость затрагивает и другие браузеры на той же платформе. Учитывая, что ошибка активно эксплуатируется, уже могут быть скомпрометированы системы некоторого числа пользователей — некоторые не спешат с обновлением ПО, а значит, хакеры могут продолжать атаки не один месяц.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
«Сделано ИИ»: DeepSeek добавила обязательную маркировку ИИ-контента и запретила её удалять 14 мин.
«Рэйман в надёжных руках»: Ubisoft обратилась к игрокам по случаю 30-летия Rayman 24 мин.
MWS Cloud в 1,5 раза увеличила мощности GPU-облака для искусственного интеллекта 11 ч.
Кодзима приоткроет завесу тайны над будущими играми в честь 10-летия Kojima Productions 13 ч.
Календарь релизов — 1 – 7 сентября: Hollow Knight: Silksong, Cronos: The New Dawn и Metal Eden 14 ч.
Выбор часов и минут в будильнике iPhone оказался не циклом, а длинным списком с неожиданным концом 15 ч.
Чем ближе Silksong, тем выше пиковый онлайн Hollow Knight — метроидвания достигла 71 тысячи одновременных игроков в Steam 16 ч.
Королевская битва Battlefield 6 засветилась в новой геймплейной утечке с закрытого тестирования 17 ч.
Джеймс Бонд выходит из тени: Sony скоро покажет 30 минут геймплея шпионского боевика 007 First Light от создателей Hitman 17 ч.
Windows 11 растеряла популярность в августе, но не уступила лидерство Windows 10 18 ч.
Госсайты многи стран оказались лишены элементарной защиты, а трафик до них идёт через зарубежные сети 50 мин.
Новая статья: Обзор смартфона HUAWEI Pura 80: удобный флагман с «Алисой» 59 мин.
В России стартовал предзаказ Huawei Pura 80 — флагман по цене от 59 990 рублей 2 ч.
Разработчик термоядерных реакторов Commonwealth Fusion Systems получил на развитие ещё $863 млн 11 ч.
Meta «растянула» суперускорители NVIDIA GB200 NVL36×2 на шесть стоек, чтобы обойтись воздушным охлаждением 11 ч.
Первый складной iPhone не получит подэкранный сканер отпечатков пальцев, но Touch ID вернётся 13 ч.
Vivo представила смартфон Y500 с батареей на 8200 мА·ч и повышенной водозащитой 14 ч.
MSI оценила эксклюзивную аниме-видеокарту GeForce RTX 5070 Ti MLG на $150 дороже эталонной версии 18 ч.
У Samsung Galaxy Z Fold7 тоже облезает краска с корпуса — как и у Fold6 19 ч.
Мелкие китайские автопроизводители обогнали гиганта BYD по темпам роста продаж 19 ч.