Компания Google выпустила обновление 100.0.4896.60 для браузера Chrome, закрывающее 28 уязвимостей. Как минимум 9 из них имеют высокий рейтинг опасности — в дополнение к CVE-2022-1096, которую Google залатала отдельным патчем буквально несколько дней назад. Итого компания менее чем за неделю выпустила заплатки для 10 уязвимостей с рейтингом опасности High. Иными словами, если вы давно не выключали компьютер и не перезапускали браузер, то самое время обновиться.
Уязвимость CVE-2022-1096
Пока Google не публиковал подробностей ни про одну из уязвимостей — согласно политике безопасности компании доступ к детальному описанию проблемы остается закрытым, пока большая часть активных пользователей не обновит браузер. Но уже понятно, что наибольшую тревогу вызывает именно уязвимость CVE-2022-1096, которую в Google закрыли отдельным патчем в пятницу, 25 марта, — не дожидаясь выпуска большого обновления.
CVE-2022-1096 относится к классу Type Confusion, то есть связана с ошибкой в типах данных в движке V8. Косвенно о степени ее опасности свидетельствует факт выпуска экстренного патча. Кроме того, компания Google располагала информацией, что эксплойт для этой уязвимости уже существует. На следующий день ту же уязвимость в своем браузере Edge на базе Chromium закрыла и компания Microsoft. Все это может означать, что эксплойт для уязвимости не просто существует, но и активно используется злоумышленниками.
Еще 28 новых уязвимостей
Из 28 уязвимостей, которые закрывает последнее обновление, большая часть (20) была обнаружена сторонними экспертами, а восемь оставшихся — внутренними специалистами Google. Из девяти новых уязвимостей со степенью опасности High четыре (CVE-2022-1125, CVE-2022-1127, CVE-2022-1131, CVE-2022-1133) относятся к классу use after free; три (CVE-2022-1128, CVE-2022-1129 и CVE-2022-1132) связаны с несоответствующей реализаций (inappropriate implementation) в различных компонентах; одна (CVE-2022-1130) заключается в недостаточной проверке входящих данных в WebOTP и еще одна (CVE-2022-1134), как и вышеупомянутая CVE-2022-1096, заключается в ошибке в типах данных в движке V8.
Как оставаться в безопасности
Для начала необходимо обновить браузер до последней версии — на момент написания данного текста это 100.0.4896.60. Проверьте, если ваша версия Chrome отличается, значит, браузер не обновился автоматически, и мы рекомендуем воспользоваться нашей инструкцией для обновления вручную. Если вы пользуетесь Microsoft Edge, то не забудьте обновить и его — делается это аналогично Google Chrome.
Мы также рекомендуем следить за новостями и своевременно обновлять критически важные программы, к которым относятся защитные решения, браузеры, офисные пакеты и сама операционная система.
Кроме того, советуем использовать надежные защитные решения, которые способны автоматически выявлять и предотвращать попытки эксплуатации уязвимостей, таким образом вы сможете защититься от атак еще до выхода официальных патчей.