H Google ανακοίνωσε αυτήν την εβδομάδα την κυκλοφορία μιας ενημέρωσης του προγράμματος περιήγησης Chrome που επιλύει επτά ευπάθειες, συμπεριλαμβανομένων τεσσάρων ζητημάτων που αναφέρθηκαν από εξωτερικούς ερευνητές.
Παρακολούθηση ως CVE-2022-2007, το πρώτο από αυτά τα σφάλματα περιγράφεται ως μη χρήση στο WebGPU. Το κενό ασφαλείας αναφέρθηκε από τον David Manouchehri, ο οποίος έλαβε 10.000 δολάρια επιβράβευση bug bounty για το εύρημα του.
Προβλήματα χρήσης μετά τη δωρεάν ενεργοποιούνται όταν ένα πρόγραμμα δεν εκκαθαρίζει τον δείκτη μετά την απελευθέρωση της εκχώρησης μνήμης και μπορεί να χρησιμοποιηθεί για αυθαίρετη εκτέλεση κώδικα, άρνηση υπηρεσίας ή καταστροφή δεδομένων, που ενδέχεται να οδηγήσει σε παραβίαση του συστήματος, εάν συνδυαστεί με άλλα τρωτά σημεία . Στην περίπτωση του Chrome, συχνά οδηγούν σε διαφυγή sandbox.
Μια άλλη ευπάθεια χωρίς χρήση που αντιμετωπίζεται με αυτήν την ενημέρωση του Chrome είναι το CVE-2022-2011, ένα ελάττωμα που εντοπίστηκε στο ANGLE, το επίπεδο αφαίρεσης της μηχανής γραφικών του Chrome. Το σφάλμα αναφέρθηκε από το SeongHwan Park.
Η τελευταία ενημέρωση του Chrome επιλύει επίσης το CVE-2022-2008, μια πρόσβαση στη μνήμη εκτός ορίων στο WebGL, η οποία αναφέρθηκε από τον ερευνητή της VinCSS Cybersecurity Tran Van Khang.
Η Google λέει ότι δεν έχει ακόμη καθορίσει τα ποσά του bug bounty που θα πληρωθούν για αυτές τις δύο ευπάθειες.
Η τέταρτη εξωτερικά αναφερόμενη ευπάθεια που αντιμετωπίζεται με αυτήν την ενημέρωση του προγράμματος περιήγησης είναι το CVE-2022-2010, μια ανάγνωση εκτός ορίων στη σύνθεση, η οποία αναφέρθηκε από τον Mark Brand του Google Project Zero. Σύμφωνα με τις πολιτικές της Google, ο ερευνητής δεν θα λάβει επιβράβευση σφάλματος.
Η πιο πρόσφατη επανάληψη του Chrome διατίθεται τώρα σε χρήστες Windows, Mac και Linux ως έκδοση 102.0.5005.115.
Η Google δεν ανέφερε καμία από αυτές τις ευπάθειες που τυγχάνουν εκμετάλλευσης στη φύση, αλλά συνιστάται στους χρήστες να ενημερώσουν τα προγράμματα περιήγησής τους το συντομότερο δυνατό.