На этой неделе Google представила обновление для браузера Chrome, которое не содержит новой функциональности. Оно выпущено ради устранения уязвимостей в системе безопасности, включая одну уязвимость нулевого дня. Уязвимость уже нашла применение у злоумышленников.
Последнее обновление финальной версии браузера Chrome для ПК стало одним из наиболее важных за несколько месяцев. Согласно официальному журналу изменений, оно содержит исправления как минимум 11 ошибок в системе безопасности, одна из которых активно используется.
Уязвимость получила номер CVE-2022-2856 и Google собирается хранить сведения о ней в тайне, пока большинство пользователей не поставят обновление. Быть может, в компании даже подождут, пока от этой уязвимости не будут защищены другие браузеры на Chromium.
Обновление CVE-2020-2856 закрывает проблему с «недостаточной проверкой ненадёжного ввода в намерениях». Намерения применяются для обработки пользовательского ввода в Chrome. Ошибка позволяет злоумышленнику ввести специально созданное сообщение, такое как комментарий на веб-странице, которое не ожидается приложением и принимается другими частями браузера. Это может привести к изменению потока управления и выполнению произвольного кода.
В этом году Google закрыла пять уязвимостей нулевого дня. В марте Google отметила значительный рост числа используемых на практике уязвимостей в Chrome. В прошлом году таких насчитали 14, в позапрошлом 8, в 2019 году только 2, пишет Techspot.
