Свежее обновление Google Chrome закрывает 10 опасных уязвимостей – «Лаборатория Касперского»
Компания Google выпустила обновление 100.0.4896.60 для браузера Chrome, закрывающее 28 уязвимостей. Как минимум 9 из них имеют высокий рейтинг опасности — в дополнение к CVE-2022-1096, которую Google залатала отдельным патчем. Итого компания менее чем за неделю выпустила заплатки для 10 уязвимостей с рейтингом опасности High, что говорит о необходимости срочного обновления браузера. Об этом сообщает «Лаборатория Касперского».
«Пока Google не публиковал подробностей ни про одну из уязвимостей — согласно политике безопасности компании, доступ к детальному описанию проблемы остается закрытым, пока большая часть активных пользователей не обновит браузер. Но уже понятно, что наибольшую тревогу вызывает именно уязвимость CVE-2022-1096, которую в Google закрыли отдельным патчем»,- отмечают эксперты компании.
По их данным, CVE-2022-1096 относится к классу Type Confusion, то есть связана с ошибкой в типах данных в движке V8. Косвенно о степени ее опасности свидетельствует факт выпуска экстренного патча. Кроме того, компания Google располагала информацией, что эксплойт для этой уязвимости уже существует. Ту же уязвимость в своем браузере Edge на базе Chromium закрыла и компания Microsoft. Все это может означать, что эксплойт для уязвимости не просто существует, но и активно используется злоумышленниками.
Из 28 уязвимостей, которые закрывает последнее обновление, большая часть (20) была обнаружена сторонними экспертами, а восемь оставшихся — внутренними специалистами Google. Из девяти новых уязвимостей со степенью опасности High четыре (CVE-2022-1125, CVE-2022-1127, CVE-2022-1131, CVE-2022-1133) относятся к классу use after free; три (CVE-2022-1128, CVE-2022-1129 и CVE-2022-1132) связаны с несоответствующей реализаций (inappropriate implementation) в различных компонентах; одна (CVE-2022-1130) заключается в недостаточной проверке входящих данных в WebOTP и еще одна (CVE-2022-1134), как и вышеупомянутая CVE-2022-1096, заключается в ошибке в типах данных в движке V8.
По мнению экспертов, для защиты от указанных уязвимостей необходимо обновить браузер до последней версии 100.0.4896.60. Следует проверить, если версия Chrome отличается, значит, браузер не обновился автоматически, и его надо обновить вручную. Если используется Microsoft Edge, то нужно обновить и его. Также рекомендуется своевременно обновлять критически важные программы, к которым относятся защитные решения, браузеры, офисные пакеты и сама операционная система. Кроме того, необходимо использовать надежные защитные решения, которые способны автоматически выявлять и предотвращать попытки эксплуатации уязвимостей, таким образом защищая от атак еще до выхода официальных патчей.