10 опасных уязвимостей в Google Chrome

Свежий апдейт Google Chrome закрывает десять опасных уязвимостей и еще полтора десятка менее серьезных дыр. Обновите браузер!

Обновите Google Chrome до версии 100
Обновление от 6 апреля: З0 марта исследователи из Google Project Zero обнаружили в Chrome еще одну уязвимость высокой степени опасности (CVE-2022-1232) и через несколько дней компания выпустила новый экстренный патч. Эта уязвимость также связана с путаницей типов в движке Chrome V8. Как обычно, Google пока не раскрывает подробностей уязвимости, однако судя по скорости выпуска заплатки, дело не терпит отлагательств. Таким образом, теперь вам следует обновить браузер Chrome для Windows, Mac и Linux до версии 100.0.4896.75.

Компания Google выпустила обновление 100.0.4896.60 для браузера Chrome, закрывающее 28 уязвимостей. Как минимум 9 из них имеют высокий рейтинг опасности — в дополнение к CVE-2022-1096, которую Google залатала отдельным патчем буквально несколько дней назад. Итого компания менее чем за неделю выпустила заплатки для 10 уязвимостей с рейтингом опасности High. Иными словами, если вы давно не выключали компьютер и не перезапускали браузер, то самое время обновиться.

Уязвимость CVE-2022-1096

Пока Google не публиковал подробностей ни про одну из уязвимостей — согласно политике безопасности компании доступ к детальному описанию проблемы остается закрытым, пока большая часть активных пользователей не обновит браузер. Но уже понятно, что наибольшую тревогу вызывает именно уязвимость CVE-2022-1096, которую в Google закрыли отдельным патчем в пятницу, 25 марта, — не дожидаясь выпуска большого обновления.

CVE-2022-1096 относится к классу Type Confusion, то есть связана с ошибкой в типах данных в движке V8. Косвенно о степени ее опасности свидетельствует факт выпуска экстренного патча. Кроме того, компания Google располагала информацией, что эксплойт для этой уязвимости уже существует. На следующий день ту же уязвимость в своем браузере Edge на базе Chromium закрыла и компания Microsoft. Все это может означать, что эксплойт для уязвимости не просто существует, но и активно используется злоумышленниками.

Еще 28 новых уязвимостей

Из 28 уязвимостей, которые закрывает последнее обновление, большая часть (20) была обнаружена сторонними экспертами, а восемь оставшихся — внутренними специалистами Google. Из девяти новых уязвимостей со степенью опасности High четыре (CVE-2022-1125, CVE-2022-1127, CVE-2022-1131, CVE-2022-1133) относятся к классу use after free; три (CVE-2022-1128, CVE-2022-1129 и CVE-2022-1132) связаны с несоответствующей реализаций (inappropriate implementation) в различных компонентах; одна (CVE-2022-1130) заключается в недостаточной проверке входящих данных в WebOTP и еще одна (CVE-2022-1134), как и вышеупомянутая CVE-2022-1096, заключается в ошибке в типах данных в движке V8.

Как оставаться в безопасности

Для начала необходимо обновить браузер до последней версии — на момент написания данного текста это 100.0.4896.60. Проверьте, если ваша версия Chrome отличается, значит, браузер не обновился автоматически, и мы рекомендуем воспользоваться нашей инструкцией для обновления вручную. Если вы пользуетесь Microsoft Edge, то не забудьте обновить и его — делается это аналогично Google Chrome.

Мы также рекомендуем следить за новостями и своевременно обновлять критически важные программы, к которым относятся защитные решения, браузеры, офисные пакеты и сама операционная система.

Кроме того, советуем использовать надежные защитные решения, которые способны автоматически выявлять и предотвращать попытки эксплуатации уязвимостей, таким образом вы сможете защититься от атак еще до выхода официальных патчей.

Советы