Останнє оновлення Google Браузер Chrome вийшов, змінивши номер версії з чотирьох частин на 104.0.5112.101 (Mac і Linux), або до 104.0.5112.102 (Windows).
За даними Google, нова версія включає 11 виправлень безпеки, одне з яких анотовано зауваженням, що «експлойт [для цієї вразливості] існує в дикій природі», що робить його дірою нульового дня.
Назва zero-day є нагадуванням про те, що були нульові дні, коли навіть найбільш добре поінформований і проактивний користувач або системний адміністратор міг би випередити поганих хлопців.
Оновити деталі
Подробиць про оновлення мало, оскільки Google, як і багато інших постачальників, обмежує доступ до деталей про помилки «доки більшість користувачів не отримають виправлення».
Але Google випускний бюлетень явно перелічує 10 з 11 помилок, як показано нижче:
- CVE-2022-2852: Використовуйте після безкоштовного використання в FedCM.
- CVE-2022-2854: Використовуйте після безкоштовного використання в SwiftShader.
- CVE-2022-2855: Використовуйте після безкоштовного в ANGLE.
- CVE-2022-2857: Використовуйте після безкоштовного використання в Blink.
- CVE-2022-2858: Використовуйте після безкоштовного входу.
- CVE-2022-2853: Переповнення буфера купи у завантаженнях.
- CVE-2022-2856: Недостатня перевірка ненадійного введення в Intents. (Нульовий день.)
- CVE-2022-2859: Використовуйте після безкоштовно в оболонці ОС Chrome.
- CVE-2022-2860: Недостатнє застосування політики щодо файлів cookie.
- CVE-2022-2861: Невідповідна реалізація в Extensions API.
Як бачите, сім із цих помилок були спричинені неправильним керуванням пам’яттю.
A використання після безкоштовно Уразливість означає, що одна частина Chrome повернула назад блок пам’яті, який не планувала більше використовувати, щоб його можна було перерозподілити для використання в іншому місці програмного забезпечення…
…тільки для того, щоб у будь-якому випадку продовжувати використовувати цю пам’ять, таким чином потенційно змусивши одну частину Chrome покладатися на дані, які, на її думку, їй можна довіряти, не усвідомлюючи, що інша частина програмного забезпечення все ще може втручатися в ці дані.
Часто подібні помилки призводять до повного збою програмного забезпечення, порушуючи обчислення або доступ до пам’яті, що неможливо відновити.
Однак інколи помилки використання після звільнення можуть бути викликані навмисно, щоб неправильно скерувати програмне забезпечення, щоб воно поводилося неправильно (наприклад, пропускаючи перевірку безпеки або довіряючи неправильному блоку вхідних даних) і спровокувавши несанкціоновану поведінку.
A переповнення буфера купи означає просити блок пам’яті, але записувати більше даних, ніж у нього безпечно вміститься.
Це переповнює офіційно виділений буфер і перезаписує дані в наступному блоці пам’яті, навіть якщо ця пам’ять може вже використовуватися іншою частиною програми.
Таким чином, переповнення буфера зазвичай викликає побічні ефекти, подібні до помилок використання після звільнення: здебільшого вразлива програма завершує роботу; іноді, однак, програму можна обманом змусити запустити ненадійний код без попередження.
Діра нульового дня
Помилка нульового дня CVE-2022-2856 представлено не більше деталей, ніж ви бачите вище: «Недостатня перевірка ненадійного введення в Intents».
Chrome умисел це механізм запуску програм безпосередньо з веб-сторінки, у якому дані з веб-сторінки передаються в зовнішню програму, яка запускається для обробки цих даних.
Google не надав жодної інформації про те, які програми чи дані якого типу можуть бути зловмисно маніпульовані через цю помилку…
…але небезпека здається досить очевидною, якщо відомий експлойт передбачає непомітну передачу в локальну програму ризикованих даних, які зазвичай блокуються з міркувань безпеки.
Що ж робити?
Chrome, ймовірно, оновиться самостійно, але ми все одно рекомендуємо перевіряти.
У Windows і Mac використовуйте більше > Документи > Про Google Chrome > Оновлення Google Chrome.
Є окремий бюлетень випуску для Chrome для iOS, який переходить до версії 104.0.5112.99, але ще немає бюлетеня [2022-08-17T12:00Z], у якому згадується Chrome для Android.
На iOS перевірте, чи ваші програми App Store оновлені. (Для цього скористайтеся самим додатком App Store.)
Ви можете стежити за будь-якими оголошеннями про майбутні оновлення Android на сайті Google Випуски Chrome блозі
Варіант Chromium із відкритим вихідним кодом пропрієтарного браузера Chrome також зараз доступний 104.0.5112.101.
Microsoft Край примітки безпеки, однак зараз [2022-08-17T12:00Z] кажуть:
Серпень 16, 2022
Корпорація Майкрософт знає про недавній експлойт, який існує в дикій природі. Команда Chromium повідомила, що ми активно працюємо над випуском виправлення безпеки.
Ви можете стежити за оновленням Edge на офіційному сайті Microsoft Оновлення безпеки Edge стр.
- blockchain
- coingenius
- крипто-валютні кошельки
- криптообмін
- кібер-безпеки
- кіберзлочинці
- Кібербезпека
- управління внутрішньої безпеки
- цифрові гаманці
- брандмауер
- Google Chrome
- Kaspersky
- шкідливих програм
- Макафі
- Гола безпека
- NexBLOC
- plato
- платон ai
- Інформація про дані Платона
- Гра Платон
- PlatoData
- platogaming
- VPN
- вразливість
- безпеки веб-сайтів
- зефірнет
![S3 Ep96: Zoom 0-day, витік AEPIC, винагорода Conti, безпека охорони здоров’я [Аудіо + текст] PlatoBlockchain Data Intelligence. Вертикальний пошук. Ai.](https://platoblockchain.com/wp-content/uploads/2022/08/bn-1200-2-300x157.png "S3 Ep96: Zoom 0-day, витік даних AEPIC, винагорода Conti, безпека охорони здоров’я [Аудіо + текст]")
![S3 Ep115: Справжні кримінальні історії – один день із життя борця з кіберзлочинністю [Аудіо + текст] PlatoBlockchain Data Intelligence. Вертикальний пошук. Ai.](https://platoblockchain.com/wp-content/uploads/2022/12/pm-expert-1200-360x188.png "S3 Ep115: Справжні кримінальні історії – один день із життя борця з кіберзлочинністю [Аудіо + текст]")
