Google выпустила экстренное обновление безопасности для настольной версии браузера Chrome, устраняющее 8-ую уязвимость нулевого дня, использованную в атаках в этом году.
Уязвимость с высокой степенью опасности CVE-2022-4135 представляет собой переполнение буфера в куче в графическом процессоре. Недостаток был обнаружен Клементом Лесинем из группы анализа угроз Google Threat Analysis Group 22 ноября 2022 года.
В своем уведомлении Google написала, что ей известно о существовании эксплойта для CVE-2022-4135. Поскольку пользователям нужно время, чтобы применить обновление, Google скрыл подробности об уязвимости, чтобы предотвратить ее злонамеренное использование.
Уязвимость переполнения буфера в куче приводит к тому, что данные записываются в запрещенные места без проверки. Киберпреступники могут использовать переполнение буфера кучи, чтобы перезаписать память приложения, что приводит к свободному доступу к информации или выполнению произвольного кода.
Пользователям Chrome рекомендуется обновиться до версии 107.0.5304.121/122 для Windows и 107.0.5304.122 для Mac и Linux, которая устраняет CVE-2022-4135.
В октябре Google Chrome 107 получил экстренное обновление от Google с исправлением седьмой 0-day уязвимости под идентификатором CVE-2022-3723 , которая активно используется в дикой природе. Брешь в защите связана с путаницей типов в движке JavaScript Chromium V8. А сообщили про нее 25 октября исследователи из Avast.