MWC 2018
2018
Computex
IFA 2018
Google выпустила экстренные обновления для Chrome, в которых закрыла уязвимость браузера, активно эксплуатируемую злоумышленниками. Это уже пятая уязвимость нулевого дня в Chrome.
Источник изображения: Growtika / unsplash.com
«Google известно, что уязвимость CVE-2026-11645 эксплуатировалась», — сообщили в компании. Ошибку исправили в стабильной версии браузера для настольных компьютеров — вышли обновления для его вариантов под Windows (149.0.7827.102), macOS (149.0.7827.103) и Linux (149.0.7827.102); за две недели до этого о проблеме Google сообщил анонимный исследователь в области кибербезопасности. Обновление браузера может занять несколько дней или даже недель, прежде чем работать с актуальной версией начнёт подавляющее большинство пользователей Chrome.
Обновление для браузера уже вышло; пользователи, которые не обновляют Chrome вручную, могут получить актуальные версии в автоматическом режиме при следующем запуске. Серьёзная уязвимость нулевого дня связана с возможностью чтения и записи данных за пределами допустимого диапазона с использованием движка Chrome V8 для языка JavaScript. Чтобы эксплуатировать её, злоумышленники могут направить потенциальную жертву на специально подготовленную HTML-страницу и выполнить за пределами песочницы браузера произвольный код. В результате они получат возможность раскрыть конфиденциальную информацию пользователя или спровоцировать сбой в работе программы. Эксплуатация данной уязвимости может также использоваться для обхода механизмов защиты, в том числе ASLR, и выполнения кода через другую уязвимость.
Подробностей по поводу инцидента в Google пока не предоставили. «Доступ к подробностям об ошибках и к ссылкам может быть ограничен, пока большинство пользователей не получит обновление с исправлением. Мы также сохраним ограничения, если ошибка присутствует в сторонней библиотеке, от которой зависят другие проекты, но которая ещё не исправлена», — заключили в Google.
В этом году Google исправила ещё четыре уязвимости нулевого дня в Chrome — они были связаны с некорректным функционированием обработчика шрифтов, библиотеки двухмерной графики Skia, движка V8 и WebAssembly, а также в Dawn — реализации стандарта WebGPU.
Источник:
