0-day уязвимость Google заставляет программу поверить в ложные данные

2 декабря Google выпустил внеочередное обновление безопасности, чтобы исправить новую активно используемую уязвимость нулевого дня в браузере Chrome.

Уязвимость с высоким уровнем опасности CVE-2022-4262 связана с путаницей типов в движке JavaScript V8. О проблеме сообщил исследователь группы анализа угроз Google (TAG) Клемент Лесинь 29 ноября.

Уязвимость путаницы типов возникает, когда приложение Java не проверяет тип элемента данных, который ему передается. Например, программа получает число, а самом деле получает строку. Если приложение не проверяет тип полученных данных, оно может неправильно обработать элемент данных, потенциально дестабилизируя его код.

Эта ошибка может предоставить киберпреступнику доступ к памяти за пределами допустимого диапазона или привести к сбою и выполнению произвольного кода. По данным NIST , уязвимость позволяет “удаленному злоумышленнику потенциально использовать повреждение кучи через созданную HTML-страницу”.

Google признал активное использование уязвимости, но не стал делиться дополнительной информацией, чтобы предотвратить дальнейшее злоупотребление.

Пользователям рекомендуется выполнить обновление до версии 108.0.5359.94 для macOS и Linux и 108.0.5359.94/.95 для Windows, чтобы смягчить потенциальные угрозы. Пользователям браузеров на основе Chromium – Microsoft Edge, Brave, Opera и т.д., также рекомендуется применить исправления по мере их появления.

CVE-2022-4262 – это девятая 0-day уязвимость в Chrome, использованная в атаках в 2022 году. Ранее в ноябре Google выпустил срочное исправление 0-day уязвимости с высокой степенью опасности, связанная с переполнением буфера в куче в графическом процессоре. Недостаток был обнаружен Клементом Лесинем из группы анализа угроз Google Threat Analysis Group 22 ноября 2022 года.

Public Release.