Последнее обновление Google Браузер Chrome отсутствует, номер версии, состоящий из четырех частей, заменен на 104.0.5112.101 (Mac и Linux) или в 104.0.5112.102 (Виндовс).
По данным Google, новая версия включает 11 исправлений безопасности, одно из которых снабжено примечанием, что «эксплойт [для этой уязвимости] существует в дикой природе», что делает его дырой нулевого дня.
Название «нулевой день» является напоминанием о том, что были нулевые дни, когда даже самый информированный и активный пользователь или системный администратор мог получить исправление раньше, чем «плохие парни».
Обновить данные
Подробности об обновлениях скудны, учитывая, что Google, как и многие другие поставщики в наши дни, ограничивает доступ к сведениям об ошибках. «пока большинство пользователей не обновят исправление».
Но выпуск бюллетеня явно перечисляет 10 из 11 ошибок следующим образом:
- CVE-2022-2852: Используйте после бесплатного использования в FedCM.
- CVE-2022-2854: Используйте после бесплатного использования в SwiftShader.
- CVE-2022-2855: Используйте после свободного в ANGLE.
- CVE-2022-2857: Используйте после бесплатного в Blink.
- CVE-2022-2858: Используйте после бесплатного входа в систему.
- CVE-2022-2853: Переполнение буфера кучи в Downloads.
- CVE-2022-2856: Недостаточная проверка ненадежного ввода в намерениях. (Нулевой день.)
- CVE-2022-2859: Используйте бесплатно в Chrome OS Shell.
- CVE-2022-2860: Недостаточное применение политики в файлах cookie.
- CVE-2022-2861: Недопустимая реализация в Extensions API.
Как видите, семь из этих ошибок были вызваны неправильным управлением памятью.
A использовать после освобождения Уязвимость означает, что одна часть Chrome вернула блок памяти, который она больше не планировала использовать, чтобы его можно было перераспределить для использования в другом месте программного обеспечения…
… только для того, чтобы в любом случае продолжать использовать эту память, что может привести к тому, что одна часть Chrome будет полагаться на данные, которым, по ее мнению, она может доверять, не осознавая, что другая часть программного обеспечения все еще может подделывать эти данные.
Часто ошибки такого рода приводят к полному сбою программного обеспечения из-за необратимого нарушения вычислений или доступа к памяти.
Однако иногда ошибки использования после освобождения могут быть вызваны преднамеренно, чтобы сбить программу с толку, чтобы она вел себя неправильно (например, пропуская проверку безопасности или доверяя неправильному блоку входных данных) и провоцируя несанкционированное поведение.
A переполнение буфера кучи означает запрос блока памяти, но запись большего количества данных, чем может безопасно поместиться в него.
Это переполняет официально выделенный буфер и перезаписывает данные в следующем блоке памяти, даже если эта память уже может использоваться какой-то другой частью программы.
Таким образом, переполнение буфера обычно приводит к тем же побочным эффектам, что и ошибки использования после освобождения: в основном уязвимая программа аварийно завершает работу; иногда, однако, программу можно обмануть, запустив ненадежный код без предупреждения.
Дыра нулевого дня
Ошибка нулевого дня CVE-2022-2856 представлен не более подробно, чем вы видите выше: «Недостаточная проверка ненадежного ввода в намерениях».
Хром Намерение — это механизм запуска приложений непосредственно с веб-страницы, при котором данные с веб-страницы передаются во внешнее приложение, запускаемое для обработки этих данных.
Google не предоставил никаких подробностей о том, какие приложения или какие данные могут быть злонамеренно изменены этой ошибкой…
… но опасность кажется довольно очевидной, если известный эксплойт включает в себя скрытую передачу локальному приложению опасных данных, которые обычно блокируются из соображений безопасности.
Что делать?
Chrome, вероятно, обновится сам, но мы все равно всегда рекомендуем проверять.
В Windows и Mac используйте Больше > Документи > О Google Chrome > Обновите Google Chrome.
Для Chrome для iOS, который переходит в версию 104.0.5112.99, но еще нет бюллетеня [2022-08-17T12:00Z], в котором упоминается Chrome для Android.
В iOS убедитесь, что ваши приложения в App Store обновлены. (Для этого используйте само приложение App Store.)
Вы можете следить за объявлениями о предстоящем обновлении Android на сайте Google. Релизы Chrome Блог
Вариант Chromium с открытым исходным кодом проприетарного браузера Chrome также в настоящее время находится в версии 104.0.5112.101.
Microsoft Edge примечания по безопасности, однако в настоящее время [2022-08-17T12:00Z] говорят:
16 августа 2022
Microsoft знает о недавнем распространении эксплойта. Мы активно работаем над выпуском исправления безопасности, как сообщает команда Chromium.
Вы можете следить за обновлением Edge на официальном сайте Microsoft. Обновления пограничной безопасности стр.
- блокчейн
- Coingenius
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Google Chrome
- Kaspersky
- вредоносных программ
- Mcafee
- Голая Безопасность
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- уязвимость
- безопасности веб-сайтов
- зефирнет
![S3, серия 115: Правдивые криминальные истории – один день из жизни борца с киберпреступностью [Аудио + текст] PlatoBlockchain Data Intelligence. Вертикальный поиск. Ай.](https://platoblockchain.com/wp-content/uploads/2022/12/pm-expert-1200-360x188.png "S3 Ep115: Реальные криминальные истории – Один день из жизни борца с киберпреступностью [Аудио + Текст]")
![S3, серия 104: Должны ли злоумышленники-вымогатели быть заперты на всю жизнь? [Аудио + текст] Разведка данных PlatoBlockchain. Вертикальный поиск. Ай.](https://platoblockchain.com/wp-content/uploads/2022/10/s3-ep104-cover-1200-360x188.png "S3 Ep104: Должны ли нападавшие на больниц программы-вымогатели быть заперты на всю жизнь? [Аудио + текст]")
