H Google ανακοίνωσε αυτήν την εβδομάδα την κυκλοφορία του Chrome 103 στο σταθερό κανάλι με ενημερώσεις κώδικα για συνολικά 14 ευπάθειες, συμπεριλαμβανομένων των εννέα που αναφέρθηκαν από εξωτερικούς ερευνητές.
Το πιο σοβαρό από αυτά τα σφάλματα είναι το CVE-2022-2156, το οποίο περιγράφεται ως ζήτημα κρίσιμης σοβαρότητας χρήσης μετά τη δωρεάν χρήση στο Base.
Το ελάττωμα ασφαλείας εντοπίστηκε από τον Mark Brand του Google Project Zero. Σύμφωνα με την πολιτική της Google, δεν θα χορηγηθεί επιβράβευση σφαλμάτων για αυτήν την ευπάθεια.
Οδηγώντας σε αυθαίρετη εκτέλεση κώδικα, καταστροφή δεδομένων ή άρνηση υπηρεσίας, ενεργοποιούνται ελαττώματα χωρίς χρήση όταν ένα πρόγραμμα ελευθερώνει την εκχώρηση μνήμης αλλά δεν διαγράφει τον δείκτη μετά από αυτό.
Εάν συνδυαστούν με άλλες οπές ασφαλείας, τα σφάλματα χωρίς χρήση μπορεί να οδηγήσουν σε πλήρη συμβιβασμό του συστήματος. Στο Chrome, μπορούν συχνά να γίνουν αντικείμενο εκμετάλλευσης για να ξεφύγουν από το sandbox του προγράμματος περιήγησης.
Το Chrome 103 επιλύει τρεις άλλες ευπάθειες χωρίς χρήση που εντοπίστηκαν από εξωτερικούς ερευνητές, επηρεάζοντας στοιχεία όπως ομάδες ενδιαφέροντος (CVE-2022-2157, υψηλή σοβαρότητα), Πάροχος εφαρμογών Web (CVE-2022-2161, μεσαίας σοβαρότητας) και Cast UI και Γραμμή εργαλείων (CVE-2022-2163, χαμηλής σοβαρότητας).
Η τελευταία ενημέρωση του Chrome επιλύει επίσης ένα ελάττωμα σύγχυσης τύπου υψηλής σοβαρότητας που αναφέρεται εξωτερικά στη μηχανή JavaScript και WebAssembly V8 (CVE-2022-2158), μαζί με τέσσερα άλλα ζητήματα μεσαίας και χαμηλής σοβαρότητας.
Google λέει ότι έχει πληρώσει συνολικά 44.000 $ σε επιβραβεύσεις για bug bounty στους ερευνητές που αναφέρουν. Ο γίγαντας του διαδικτύου δεν κάνει καμία αναφορά σε καμία από αυτές τις ευπάθειες που εκμεταλλεύονται σε επιθέσεις.
Η τελευταία έκδοση του Chrome κυκλοφορεί αυτήν τη στιγμή σε χρήστες Windows, Mac και Linux ως έκδοση 103.0.5060.53.