Google виправляє «в дикій природі» Chrome zero-day – оновіть зараз!

Останнє оновлення веб-переглядача Chrome від Google виправляє різну кількість помилок, залежно від того, чи використовується ви Android, Windows або Macі залежно від того, чи використовуєте ви «стабільний канал» чи «розширений стабільний канал».

Не хвилюйтеся, якщо кількість публікацій у блозі Google збентежить вас…

…ми також, тож спробували скласти всеосяжне резюме нижче.

Команда Стабільний канал є найновішою версією, що включає всі нові функції браузера, наразі пронумеровані Chrome 103.

Команда Розширений стабільний канал ідентифікує себе як Chrome 102і не має найновіших функцій, але має останні виправлення безпеки.

Три помилки з номерами CVE перераховані в трьох бюлетенях, перерахованих вище:

• CVE-2022-2294: Переповнення буфера в WebRTC. Діра нульового дня, вже відома братії кіберзлочинців і активно експлуатована в дикій природі. Ця помилка з’являється в усіх перелічених вище версіях: Android, Windows і Mac, у «стабільному» та «розширеному стабільному» варіантах. WebRTC це скорочення від «веб-спілкування в режимі реального часу», яке використовується багатьма службами обміну аудіо та відео, якими ви користуєтеся, наприклад для віддалених зустрічей, вебінарів і онлайн-телефонних дзвінків.
• CVE-2022-2295: Плутанина типу у V8. Термін V8 відноситься до механізму Google JavaScript, який використовується будь-яким веб-сайтом, який містить код JavaScript, а в 2022 році це є майже кожен веб-сайт. Ця помилка з’являється в Android, Windows і Mac, але, очевидно, лише у версії Chrome 103 («стабільний канал»).
• CVE-2022-2296: Безкоштовне використання в оболонці ОС Chrome. Це вказано як застосовне до «стабільного каналу» на Windows і Mac, хоча оболонка ОС Chrome, як випливає з назви, є частиною Chrome OS, який не базується ні на Windows, ні на Mac.

Крім того, Google виправив купу помилок, не пронумерованих CVE, які спільно позначені як Ідентифікатор помилки 1341569.

Ці патчі містять низку проактивних виправлень на основі «внутрішніх перевірок, фаззингу та інших ініціатив», що, ймовірно, означає, що вони раніше нікому не були відомі, а тому ніколи не були (і більше не можуть бути) перетворені на нульові. денні отвори, що є гарною новиною.

Користувачі Linux ще не згадувалися в бюлетенях цього місяця, але незрозуміло, чи це тому, що жодна з цих помилок не стосується кодової бази Linux, тому що виправлення ще не повністю готові для Linux, чи тому, що помилки не вважається достатньо важливим, щоб отримати специфічні для Linux виправлення.

Пояснення типів помилок

Щоб надати вам дуже короткий глосарій важливих категорій помилок вище:

• Переповнення буфера. Це означає, що дані, надані зловмисником, потрапляють у блок пам’яті, який недостатньо великий для надісланого обсягу. Якщо додаткові дані в кінцевому підсумку «виливаються» в простір пам’яті, який уже використовується іншими частинами програмного забезпечення, це може (або в цьому випадку так) навмисно та підступно вплинути на поведінку браузера.
• Плутанина типу. Уявіть, що ви надаєте такі дані, як «ціна продукту», які браузер має розглядати як просте число. А тепер уявіть, що пізніше ви можете обманом змусити браузер використати щойно введений номер як адресу пам’яті чи текстовий рядок. Число, яке пройшло перевірку на законну ціну, ймовірно, не є дійсною адресою пам’яті чи текстовим рядком, і, отже, не було б прийнято без підступу підкрадання його під виглядом іншого типу даних. Надаючи дані, які є «дійсними під час перевірки, але недійсними під час використання», зловмисник може навмисно змінити поведінку веб-переглядача.
• Безкоштовне використання після. Це означає, що одна частина браузера неправильно продовжує використовувати блок пам’яті після того, як його було передано системі для перерозподілу в іншому місці. Як наслідок, дані, які вже перевірено на безпеку (за допомогою коду, який припускає, що вони «володіють» відповідною пам’яттю), можуть бути потайки модифіковані безпосередньо перед використанням, таким чином підступно вплинувши на поведінку браузера.

Що ж робити?

Chrome, ймовірно, оновиться самостійно, але ми все одно рекомендуємо перевіряти.

У Windows і Mac використовуйте більше > Документи > Про Google Chrome > Оновлення Google Chrome.

На Android перевірте, чи ваші програми Play Store оновлені.

Після оновлення ви шукаєте версію 102.0.5005.148 якщо ви використовуєте «розширений стабільний» випуск; 103.0.5060.114 якщо ви на «стабільному» шляху; і 103.0.5060.71 на Android.

У Linux ми не впевнені, на який номер версії звернути увагу, але ви можете зробити це Документи > МЕНЮ > Оновити щоб упевнитися, що ви маєте останню доступну версію прямо зараз.