Chrome
Астрологи объявили неделю ретроградного Меркурия браузерных уязвимостей: количество опасных дыр в браузерах увеличилось вдвое! Только что мы написали о том, что надо оперативно установить обновления iOS и macOS из-за серьезного бага в Apple WebKit (основа браузера Safari и любых браузеров в iOS). И вот из-за похожей, так сказать, по своим эксплуатационным характеристикам проблемы пора срочно обновлять и другие браузеры. На этот раз речь идет о Google Chrome, а также о родственных ему браузерах — и не только браузерах, но не будем забегать вперед.
Уязвимости в движке V8
Уязвимость CVE-2023-2033 была найдена в движке V8. Этот движок используется для обработки JavaScript. Нашел ее тот же самый исследователь из команды Google Threat Analysis Group (TAG), который участвовал в обнаружении уязвимостей в iOS и macOS, описанных в нашем предыдущем посте.
В соответствии со своей обычной политикой, Google не разглашает подробности об уязвимости, пока большинство пользователей не обновит свои браузеры, так что подробной информации о дыре пока нет. Однако известно, что эксплойт для этой уязвимости уже существует.
Чтобы ее проэксплуатировать, атакующим необходимо создать вредоносную веб-страницу и заманить на нее жертву. После этого они получат возможность выполнения произвольного кода на атакуемом компьютере. В общем, как и найденная ранее уязвимость в Safari WebKit, данная дыра позволяет организовывать атаки zero-click, то есть заражать устройства пользователей без каких-либо активных действий с их стороны — достаточно лишь тем или иным образом заставить жертву открыть опасный сайт.
Известно, что данная уязвимость есть как минимум в десктопных версиях всех браузеров, основанных на проекте Chromium, — то есть не только в самом Google Chrome, но еще и в Microsoft Edge, Opera, Яндекс.Браузере, Vivaldi, Brave и многих других. Также она, вероятно, затрагивает приложения, работающие на основе фреймворка Electron, — как мы уже не так давно писали, такие программы по сути представляют собой веб-страницы, открытые во встроенном в приложение браузере Chromium.
Как защититься от данной уязвимости
Чтобы избавиться от уязвимости CVE-2023-2033 на вашем компьютере, следует как можно быстрее обновить все основанные на Chromium браузеры, которые у вас установлены. У нас есть подробный пост с описанием того, как это сделать непосредственно в Google Chrome. Ну а если совсем коротко, то:
- Google Chrome следует обновить до версии 112.0.5615.121;
Описанная в посте дыра устранена в Google Chrome версии 112.0.5615.121
- уязвимость следует также закрыть и в других приложениях на базе Chromium: здесь можно найти патч, обновляющий Microsoft Edge до версии 112.0.1722.48, а на сайтах Vivaldi и Brave уже есть заплатки и для этих браузеров;
- не забудьте перезапустить браузер после установки обновления — иначе апдейт не вступит в силу;
- желательно также обновить и все приложения, работающие на основе фреймворка Electron, но апдейты для них появятся, скорее всего, не так быстро.
Ну и, конечно же, обязательно защищайте все свои устройства надежным антивирусом, который позаботится о безопасности в те моменты, когда уязвимости уже активно эксплуатируют, а закрывающие их обновления еще не выпущены.
Советы