Сегодня 25 июня 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Google закрыла восьмую за 2023 год уязвимость нулевого дня в Chrome

Google выпустила срочное обновление, устраняющее недавно обнаруженную уязвимость CVE-2023-7024 в браузере Chrome. Это уже восьмая в этом году уязвимость нулевого дня в браузере, и она активно эксплуатируется злоумышленниками, признал разработчик.

 Источник изображения: Growtika / unsplash.com

Источник изображения: Growtika / unsplash.com

Уязвимость за номером CVE-2023-7024 вызывает ошибку переполнения буфера в модуле Chrome WebRTC и позволяет выполнять код удалённо. WebRTC предназначается для установки связи в реальном времени через API и, этот проект пользуется широкой поддержкой среди ведущих разработчиков браузеров. При эксплуатации уязвимости удалённое выполнение кода производится в процессе рендеринга за пределами изолированной программной среды JavaScript. Это может стать первым шагом в цепочке эксплойтов, но потребуется эксплуатация и других уязвимостей для выхода из песочницы либо в браузере, либо на уровне ОС. Самой же CVE-2023-7024 из-за «многопроцессной архитектуры Chrome» недостаточно ни для получения доступа к файлам, ни для развёртывания вредоносного ПО — точка опоры злоумышленника исчезает при закрытии соответствующей вкладки.

Присутствующая в Chrome функция Site Isolation не позволит при эксплуатации уязвимости получить банковскую информацию жертвы, но не исключается атака с одного сайта на другой, если оба отдаются по разным поддоменам одного и того же домена второго уровня. Уязвимость может эксплуатироваться сайтом, не требуя каких-либо действий пользователя, кроме открытия вредоносной страницы — его согласие требуется для доступа к микрофону или веб-камере, а доступ к среде WebRTC оказывается уже открытым. В случае мобильного Chrome открывается дополнительная угроза: в некоторых сценариях из-за небольших объёмов оперативной памяти в едином процессе рендеринга оказываются несколько сайтов.

Учитывая популярность и открытую кодовую базу Chromium, уязвимость затрагивает и другие браузеры на той же платформе. Учитывая, что ошибка активно эксплуатируется, уже могут быть скомпрометированы системы некоторого числа пользователей — некоторые не спешат с обновлением ПО, а значит, хакеры могут продолжать атаки не один месяц.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Бизнес раскритиковал идею введения платного доступа к госсервисам для юрлиц 10 ч.
Объявлена дата выхода Little Nightmares 3 — новый трейлер, 11 минут геймплея и предзаказ с приятным сюрпризом 10 ч.
Российская гиперконвергентная платформа vStack HCP получила крупное обновление 13 ч.
Продажи Rematch от создателей Sifu превысили миллион копий — раскрыта статистика игроков 13 ч.
Для Warhammer 40,000: Rogue Trader вышло сюжетное дополнение Lex Imperialis и большой патч 1.4, а в работе ещё более крупное обновление 14 ч.
Anthropic выиграла суд у издателей: обучать ИИ на купленных книгах законно, на пиратских — нет 14 ч.
Xbox скоро настигнет новая волна массовых увольнений — Microsoft проводит реорганизацию 15 ч.
Путин подписал закон о создании национального мессенджера 15 ч.
Новый геймплейный трейлер раскрыл дату выхода перезапуска Painkiller — в российском Steam открыт предзаказ 16 ч.
Заявка на успех: более миллиона человек уже добавили Resident Evil Requiem в список желаемого 19 ч.
Бывший маркетолог Google создал «пустышку» для тех, кто не может оторваться от телефона 35 мин.
Оборот российского рынка микроэлектроники может к 2030 году превысить триллион рублей 5 ч.
Суд приговорил криптоблогера Битмаму к семи годам колонии за мошенничество 5 ч.
Apple приняла официальное участие в китайской программе субсидирования продаж потребительской электроники 5 ч.
Fujitsu считает важным появление в Японии контрактного производителя передовых чипов Rapidus 6 ч.
Intel запустила обещанную волну увольнений — первыми под сокращение попали инженеры в Калифорнии 8 ч.
Gigabyte представила три версии GeForce RTX 5050, включая низкопрофильную — все с разгоном 8 ч.
Стараниями Китая мировые поставки носимых устройств подскочили на 10,5 % в первом квартале 8 ч.
Новая статья: Разрубить EUV-узел 9 ч.
MSI представила компактную GeForce RTX 5050 Shadow 2X OC с разгоном 10 ч.