Компания Google выпустила экстренное обновление безопасности для закрытия недавно найденной уязвимости в браузере Chrome. Основанный на переполнении буфера эксплоит был обнаружен членом Google Threat Analysis Group (TAG) Клементом Лесинем. Google признала проблему и пообещала не рассказывать сведений о ней до широкого распространения патча.
Уязвимость CVE-2022-4135 представляет собой проблему переполнения буфера кучи (heap buffer overflow) в графическом процессоре. Она может привести к тому, что злоумышленники получат несанкционированный доступ к информации, вызовут нестабильность работы приложения или дадут разрешение на выполнение произвольного кода на компьютере.
TAG Google признала уязвимость в недавнем обновлении браузера в стабильном канале. Была выпущена версия браузера 107.0.5304.121 на Mac и Linux, а также 107.0.5304.121/.122 на Windows.
Это восьмая уязвимость нулевого дня в Chrome в 2022 году. Вот их список:
- CVE-2022-3723 — путаница типов в V8.
- CVE-2022-3075 — недостаточная проверка данных в Mojo.
- CVE-2022-2856 — недостаточная проверка ненадёжных входных данных.
- CVE-2022-2294 — переполнение буфера кучи в WebRTC.
- CVE-2022-1364 — путаница типов в V8.
- CVE-2022-1096 — путаница типов в V8.
- CVE-2022-0609 — use after free в анимации.
Решение Google не рассказывать про эксплоит является стандартной практикой, чтобы свести к минимуму вероятность его применения на практике. Так у пользователей появляется больше времени для обновления браузеров. Разработчики сторонних библиотек тоже получают возможность закрыть уязвимость, пишет Techspot.