Компания уже запустила прогрессивное развертывание новой версии Chrome на канале Stable. Может пройти несколько недель, прежде чем обновление достигнет всей пользовательской базы.
Chrome автоматически проверяет наличие обновлений и устанавливает их при следующем запуске.
Пользователи могут ускорить получение обновления, перейдя в меню > Справка > О браузере Google Chrome или открыв внутреннюю страницу chrome://settings/help напрямую. В этом случае откроется информационная страница с номером текущей версии браузера и запустится проверка и последующая установка доступных обновлений.
Вы также можете скачать новую версию браузера с нашего сайта:
Информация об эксплуатации не раскрывается
В бюллетени безопасности Google сообщает:
Google известно о существовании эксплойта для CVE-2022-1096, который используется в реальных атаках.
Исправленная уязвимость с идентификатором CVE-2022-1096 связана с отсутствием проверки типа передаваемого объекта в JavaScript-движке Chrome V8. Проблема безопасности была обнаружена анонимным исследователем.
Подобные ошибки, связанные с типами объектов, обычно приводят к сбоям браузера после успешной эксплуатации путем чтения или записи памяти за пределами буфера. Также злоумышленники могут использовать подобные уязвимости для выполнения произвольного кода.
Хотя Google обнаружил атаки с эксплуатацией CVE-2022-1096, компания не поделилась техническими подробностями или дополнительной информацией об этих инцидентах.
Google заявляет:
Доступ к дополнительным сведениям об ошибках и ссылкам может быть ограничен до тех пор, пока большинство пользователей не получат исправление.
Ограничения будут сохранены, если уязвимость существует в сторонней библиотеке, от которой также зависят еще не исправленные проекты.
У пользователей Google Chrome должно быть достаточно времени, чтобы обновить Chrome и предотвратить попытки эксплуатации, пока компания не опубликует дополнительную информацию.
Вторая уязвимость нулевого дня в этом году
Текущее обновление устраняет вторую угрозу нулевого дня в Chrome с начала 2022 года, а другую с идентификатором CVE-2022-0609 компания исправила в прошлом месяце.
Группа анализа угроз Google (Threat Analysis Group, TAG) сообщила, что хакеры, поддерживаемые правительством Северной Кореей, использовали CVE-2022-0609 за несколько недель до выхода февральского патча. Самый ранний признак активной эксплуатации был обнаружен 4 января 2022 года.
Уязвимость нулевого дня использовалась двумя отдельными группировками, поддерживаемыми правительством КНДР в кампаниях по распространению вредоносного ПО через фишинговые электронные письма с использованием взломанных сайтов, на которых размещались скрытые элементы iframe.
Исследователи пояснили:
Электронные письма содержали ссылки, которые пытались выдать себя за легитимные веб-сайты по поиску работы, такие как Indeed и ZipRecruiter.
В других случаях наблюдались фальшивые сайты, настроенные для распространения троянских криптовалютных приложений, размещающие iframe и указывающие своим посетителям на набор эксплойтов.
Обновления программ, что нового
• Android 16 QPR3 для Pixel: 6 ключевых изменений, которые появятся уже в марте
• NIST: принудительная смена паролей каждые 90 дней устарела и снижает безопасность
• Утечка: Snapdragon 8 Elite Gen 6 может получить систему охлаждения от Samsung Exynos
• Утечка: Honor 600 может получить аккумулятор емкостью 9000 мАч
• Стартовала бета-версия HyperOS 3.1 для 10 новых устройств: номера сборок для России и глобального рынка
• Покупатели Яндекс Маркета смогут создавать ИИ-подборки товаров под конкретные задачи