W czwartek Google wydało aktualizacje oprogramowania, aby rozwiązać kolejną lukę dnia zerowego w swojej przeglądarce Chrome.
Luka o wysokim poziomie ważności, śledzona jako CVE-2022-4135 , została opisana jako przepełnienie bufora sterty w komponencie GPU. Clement Lecigne z grupy Google Threat Analysis Group (TAG) zgłosił błąd 22 listopada 2022 r.
Błędy przepełnienia bufora oparte na stercie mogą zostać wykorzystane przez cyberprzestępców do zawieszenia programu lub wykonania dowolnego kodu, co prowadzi do niezamierzonego zachowania.
Według National Vulnerability Database NIST, luka może pozwolić „zdalnemu atakującemu, który naruszył proces renderowania, na potencjalne wykonanie ucieczki z piaskownicy za pośrednictwem spreparowanej strony HTML”.
„Google zdaje sobie sprawę, że exploit dla CVE-2022-4135 istnieje na wolności” – przyznał gigant technologiczny w poradniku.
Ale podobnie jak w przypadku innych aktywnie wykorzystywanych problemów, szczegóły techniczne zostały wstrzymane, dopóki większość użytkowników nie zostanie zaktualizowana o poprawkę i aby zapobiec dalszym nadużyciom.
Dzięki najnowszej aktualizacji Google wyeliminowało osiem luk zero-day w Chrome od początku roku –
CVE-2022-0609 — Użycie po zwolnieniu w animacji
CVE-2022-1096 — błąd typu w wersji
CVE-2022-1364 — błąd typu w wersji
CVE-2022-2294 — Przepełnienie bufora sterty w WebRTC
CVE-2022-2856 — Niewystarczająca weryfikacja niezaufanych danych wejściowych w intencjach
CVE-2022-3075 — Niewystarczająca weryfikacja danych w Mojo
CVE-2022-3723 — Pomyłka w typie w wersji
Użytkownikom zaleca się uaktualnienie do wersji 107.0.5304.121 w przypadku systemów macOS i Linux oraz 107.0.5304.121/.122 w przypadku systemu Windows w celu złagodzenia potencjalnych zagrożeń.
Użytkownikom przeglądarek opartych na Chromium, takich jak Microsoft Edge, Brave, Opera i Vivaldi, zaleca się również stosowanie poprawek, gdy staną się one dostępne.
