Microsoft и Google выпускают экстренные исправления для Edge и Chrome
Хотя основные обновления для Google Chrome и Microsoft Edge появляются каждые четыре недели, отдельные исправления ошибок, проблем с производительностью и уязвимостей безопасности выпускаются и за пределами указанного времени. На этот раз и Edge, и Chrome предоставили экстренный патч, чтобы закрыть дыру в безопасности в Chromium.
Google выпустила экстренное обновление, чтобы исправить проблему безопасности 0-day в браузере версий Chrome для Windows, macOS и Linux. О серьезности ситуации компания сообщила 23 марта 2022 года. В Google отметили, что ей известно об атаках, направленных на уязвимость в Chrome. Компания не сообщила подробностей, например, о масштабах атак или их целях. Дыра в безопасности описывается как ошибка Type Confusion в движке V8 JavaScript и WebAssembly.
Исправление появилось после того, как Microsoft выпустила собственный патч для той же уязвимости (CVE-2022–1096) в Edge, своем браузере на Chromium. Хотя ни одна из компаний не предоставила подробностей о проблеме, Google описывает ее как очень серьезную.
Патч Google обновляет Chrome на всех трех платформах до версии Chrome 99.0.4844.84, при этом компания заявляет, что внешние исследователи внесли свой вклад в обнаружение и устранение проблемы. Поскольку известно, что уязвимость активно эксплуатируется, компания раскрывает мало подробностей, говоря: «Доступ к сведениям об ошибках и ссылкам может быть ограничен до тех пор, пока большинство пользователей не получат исправление. Мы также сохраним ограничения, если ошибка существует в сторонней библиотеке, от которой также зависят другие проекты, но которая еще не исправлена».
Google делится некоторой информацией об исправлении:
Google известно, что эксплойт для CVE-2022–1096 уже существует.
Чтобы получить обновление, пользователям Chrome необходимо открыть главное меню в браузере и выбрать « Справка » > « О Google Chrome » .
Поскольку Microsoft Edge основан на том же движке Chromium, что и Chrome, неудивительно, что для этого браузера также доступен патч. Как и в случае с Google, сообщение Microsoft в Центре реагирования на вопросы безопасности мало что говорит:
Процесс обновления для Edge почти такой же, как для Chrome. Необходимо открыть главное меню в браузере и выбрать «Справка и отзывы» > О Microsoft Edge».
По мнению экспертов замалчивание подробностей связано с тем, что уязвимость легко использовать в более старых версиях Chromium, поэтому Google хочет, чтобы исправление было общедоступным для всех, прежде чем появится более подробная информация о проблеме.
CVE-2022–1096 — вторая угроза 0-дня в Chrome, которую Google затронула в этом году. Первая CVE-2022–0609, обнаруженная и устранённая в феврале, угроза 0-дня была использована, по словам компании, как минимум двумя северокорейскими хакерами для нападения на сотни частных лиц и новостных СМИ, регистраторов доменов, поставщиков программного обеспечения и провайдеров веб-хостинга.