Сегодня 23 сентября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Google закрыла восьмую за 2023 год уязвимость нулевого дня в Chrome

Google выпустила срочное обновление, устраняющее недавно обнаруженную уязвимость CVE-2023-7024 в браузере Chrome. Это уже восьмая в этом году уязвимость нулевого дня в браузере, и она активно эксплуатируется злоумышленниками, признал разработчик.

 Источник изображения: Growtika / unsplash.com

Источник изображения: Growtika / unsplash.com

Уязвимость за номером CVE-2023-7024 вызывает ошибку переполнения буфера в модуле Chrome WebRTC и позволяет выполнять код удалённо. WebRTC предназначается для установки связи в реальном времени через API и, этот проект пользуется широкой поддержкой среди ведущих разработчиков браузеров. При эксплуатации уязвимости удалённое выполнение кода производится в процессе рендеринга за пределами изолированной программной среды JavaScript. Это может стать первым шагом в цепочке эксплойтов, но потребуется эксплуатация и других уязвимостей для выхода из песочницы либо в браузере, либо на уровне ОС. Самой же CVE-2023-7024 из-за «многопроцессной архитектуры Chrome» недостаточно ни для получения доступа к файлам, ни для развёртывания вредоносного ПО — точка опоры злоумышленника исчезает при закрытии соответствующей вкладки.

Присутствующая в Chrome функция Site Isolation не позволит при эксплуатации уязвимости получить банковскую информацию жертвы, но не исключается атака с одного сайта на другой, если оба отдаются по разным поддоменам одного и того же домена второго уровня. Уязвимость может эксплуатироваться сайтом, не требуя каких-либо действий пользователя, кроме открытия вредоносной страницы — его согласие требуется для доступа к микрофону или веб-камере, а доступ к среде WebRTC оказывается уже открытым. В случае мобильного Chrome открывается дополнительная угроза: в некоторых сценариях из-за небольших объёмов оперативной памяти в едином процессе рендеринга оказываются несколько сайтов.

Учитывая популярность и открытую кодовую базу Chromium, уязвимость затрагивает и другие браузеры на той же платформе. Учитывая, что ошибка активно эксплуатируется, уже могут быть скомпрометированы системы некоторого числа пользователей — некоторые не спешат с обновлением ПО, а значит, хакеры могут продолжать атаки не один месяц.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Huawei HarmonyOS уже шестой квартал подряд остаётся популярнее Apple iOS в Китае 30 мин.
Разработчики Palworld анонсировали Palworld: Palfarm — уютный симулятор фермерской жизни, где можно сыграть в русскую рулетку 2 ч.
Белорусы теперь могут оплачивать покупки на Wildberries криптовалютой, но есть нюансы 2 ч.
OpenAI запустила подписку ChatGPT Go дешевле $5 в месяц в ещё одной стране 2 ч.
Постаревший Леон, приземлённый экшен и как никогда амбициозная история: инсайдер раскрыл новые подробности Resident Evil Requiem 2 ч.
Исполнитель роли Тревора в GTA V оказался равнодушен к GTA VI и призвал геймеров читать Достоевского 3 ч.
«Яндекс» поселил «Алису» на флагманском ИИ в мессенджерах Max и Telegram 3 ч.
Google снова попытаются разорвать на части — Минюст США потребовал отделения рекламного бизнеса 5 ч.
Производитель Peugeot, Opel и Fiat заявил об утечке данных клиентов после хакерской атаки 5 ч.
Крупнейшие корпорации заливают миллиарды в ИИ, даже не понимая, зачем им это нужно 6 ч.
Учёные впервые засекли сигнал из другой Вселенной, но это не точно 5 мин.
DDR5 раскочегарили до 13 020 МГц — очередной рекорд разгона ОЗУ пока не подтверждён 2 ч.
В Южной Корее создали самые лучшие подводные солнечные элементы 2 ч.
Красный флаг для «красной» компании — Moody's раскритиковало эпохальный план Oracle по созданию ИИ ЦОД 3 ч.
Мечта Маска забуксовала: роботакси Tesla в Калифорнии будут вовсе не беспилотными и не совсем такси 3 ч.
Huawei собралась за три года догнать Nvidia в сфере ИИ, завалив рынок ускорителями Ascend и не только 3 ч.
SoftBank, Meta и др. проложат между Японией и Сингапуром подводный интернет-кабель Candle длиной 8 тыс. км 4 ч.
Найдётся всё: Китай запустил самый мощный в мире георадар, от которого в толще Земли ничего не скроется 4 ч.
Dreame открыл в Москве флагманский магазин нового формата 4 ч.
Учёные укротили свет в алмазах для прорыва в квантовых технологиях 5 ч.