Google a livrat vineri o actualizare de securitate out-of-band pentru a aborda o vulnerabilitate de mare severitate a browserului său Chrome despre care a spus că este exploatată în mod activ în sălbăticie.
Piesa K CVE-2022-1096, defectul zero-day se referă la tipul de vulnerabilitate la confuzie în motorul JavaScript V8. Un cercetător anonim a fost creditat cu raportarea erorii pe 23 martie 2022.
Erorile de confuzie de tip, care apar la accesarea unei resurse (de exemplu, o variabilă sau un obiect) cu un tip care este incompatibil cu ceea ce a fost inițial inițial, pot avea consecințe grave în alte limbi decât memorie sigură La fel ca C și C++, care permite actorului rău intenționat să acceseze memoria dincolo de limite.
„Când un buffer este accesat folosind tipul greșit, acesta poate citi sau scrie memorie în afara limitelor bufferului, dacă buffer-ul alocat este mai mic decât tipul pe care codul încearcă să îl acceseze, provocând o blocare și, eventual, codul de execuție”, enumerarea obișnuită. vulnerabilități cu MITRE (CWE) explica.
Gigantul tehnologic a recunoscut că era „conștient de o exploatare a CVE-2022-1096 în sălbăticie”, dar a încetat să mai partajeze detalii suplimentare pentru a preveni exploatările ulterioare și până când majoritatea utilizatorilor au fost actualizați cu o remediere.
CVE-2022-1096 este a doua vulnerabilitate zero-day pe care Google o abordează în Chrome de la începutul anului și prima CVE-2022-0609o vulnerabilitate fără utilizare în componenta Animație care a fost corectată pe 14 februarie 2022.
La începutul acestei săptămâni, grupul Google de analiză a amenințărilor (TAG) o declarație Detalii despre o campanie dublă organizată de grupurile nord-coreene de stat-națiune care a folosit defectul de a lovi organizațiile din SUA care includ mass-media de știri, tehnologia informației, criptomoneda și industriile tehnologiei financiare.
Utilizatorilor Google Chrome li se recomandă să actualizeze cea mai recentă versiune 99.0.4844.84 pentru Windows, Mac și Linux pentru a atenua orice potențiale amenințări. Utilizatorii browserelor bazate pe Chromium, cum ar fi Microsoft Edge, Opera și Vivaldi, sunt, de asemenea, sfătuiți să aplice corecțiile pe măsură ce devin disponibile.
„Iubitor tipic de twitter. Muzicholic pe tot parcursul vieții. Fanatic al culturii pop. Prieten al animalelor de pretutindeni. Evanghelist avid de bere. Jucător certificat.”