Google коригира уязвимост с висока степен на сериозност за настолната версия на своя браузър Chrome.
Пропускът, проследен като CVE-2022-2856, се използва активно в дивата природа, казва компанията, поради което е от първостепенно значение потребителите незабавно да коригират своите крайни точки (отваря се в нов раздел).
Както обикновено, Google не иска да каже много за недостатъка, докато повечето екземпляри на Chrome не бъдат коригирани. Това, което каза обаче, е, че това е грешка при валидиране на неправилно въвеждане, допълнително описано като „недостатъчно валидиране на ненадеждно въвеждане в Intents“.
Закърпване на дупки
Корекцията дойде като част от по-голяма актуализация, покриваща общо 11 уязвимости. Освен CVE-2022-2856, Google поправи и тези недостатъци:
- CVE-2022-2852 (критично): Използвайте след безплатно във FedCM
- CVE-2022-2854 (висок): Използвайте след безплатно в SwiftShader
- CVE-2022-2855 (висок): Използвайте след безплатно в ANGLE
- CVE-2022-2857 (висок): Използвайте след безплатно в Blink
- CVE-2022-2858 (висок): Използвайте след безплатно в потока на влизане.
- CVE-2022-2853 (висок): Препълване на буфера на паметта в изтеглянията
- CVE-2022-2859 (среден): Използвайте след безплатно в Chrome OS Shell
- CVE-2022-2860 (среден): Недостатъчно прилагане на правилата в бисквитките
- CVE-2022-2861 (среден): Неподходящо внедряване в API за разширения
Според доклад за Регистърът, Google изплати най-малко $29 000 на ловци на глави, които откриха и разкриха тези уязвимости. Най-високото изплащане, от $7000, отиде при изследователи, които откриха CVE-2022-2854 и CVE-2022-2855. Миналата година компанията изплати почти 9 милиона долара за множество разкривания на грешки.
Като браузър номер едно в света, Chrome е и най-голямата цел, с безброй заплахи, които се надпреварват да намерят нови уязвимости от нулевия ден. Преди по-малко от два месеца Google поправи една такава уязвимост за версията на Windows, за която се твърди, че се използва в дивата природа.
Грешката с висока степен на сериозност, проследявана като CVE-2022-2294, е слабост на препълване на буфер, базирано на купчина.
Чрез: Регистърът (отваря се в нов раздел)
