Η Google κυκλοφόρησε το Chrome 103.0.5060.114 για τους χρήστες των Windows για την αντιμετώπιση μιας ευπάθειας zero-day υψηλής σοβαρότητας που εκμεταλλεύονται οι επιτιθέμενοι στην άγρια φύση, η τέταρτη ενημέρωση κώδικα του Chrome zero-day το 2022.
“H Google. γνωρίζει ότι μια εκμετάλλευση για το CVE-2022-2294 υπάρχει στο διαδίκτυο», εξήγησε ο προμηθευτής του προγράμματος περιήγησης σε μια συμβουλή ασφαλείας που δημοσιεύθηκε τη Δευτέρα.
Η έκδοση 103.0.5060.114 κυκλοφορεί παγκοσμίως στο κανάλι Stable Desktop, με την Google να λέει ότι είναι θέμα ημερών ή εβδομάδων μέχρι να φτάσει σε ολόκληρη τη βάση χρηστών.
Αυτή η ενημέρωση ήταν διαθέσιμη αμέσως όταν το BleepingComputer έλεγξε για νέες ενημερώσεις μεταβαίνοντας στο μενού Chrome > Βοήθεια > Σχετικά με το Google Chrome.
Το πρόγραμμα περιήγησης ιστού θα ελέγχει επίσης αυτόματα για νέες ενημερώσεις και θα τις εγκαταστήσει αυτόματα μετά την επόμενη εκκίνηση.
Λεπτομέρειες επίθεσης δεν αποκαλύφθηκαν
Το σφάλμα zero-day που διορθώθηκε σήμερα (παρακολούθηση ως CVE-2022-2294υψηλής σοβαρότητας υπερχείλισης buffer βασισμένη σε σωρούς στο στοιχείο WebRTC (Web Real-Time Communications), που αναφέρθηκε από τον Jan Vojtesek του Avast Threat Ομάδα πληροφοριών την Παρασκευή 1 Ιουλίου.
Ο αντίκτυπος της επιτυχημένης εκμετάλλευσης υπερχείλισης σωρού μπορεί να κυμαίνεται από σφάλματα προγράμματος και αυθαίρετη εκτέλεση κώδικα έως παράκαμψη λύσεων ασφαλείας, εάν επιτευχθεί εκτέλεση κώδικα κατά τη διάρκεια της επίθεσης.
Αν και η Google λέει ότι αυτή η ευπάθεια μηδενικής ημέρας αξιοποιήθηκε στη φύση, η εταιρεία δεν έχει ακόμη κοινοποιήσει τεχνικές λεπτομέρειες ή πληροφορίες σχετικά με αυτά τα περιστατικά.
“Η πρόσβαση σε λεπτομέρειες σφαλμάτων και συνδέσμους μπορεί να παραμείνει περιορισμένη έως ότου η πλειοψηφία των χρηστών ενημερωθεί με μια επιδιόρθωση”, δήλωσε η Google.
“Θα διατηρήσουμε επίσης περιορισμούς εάν το σφάλμα υπάρχει σε μια βιβλιοθήκη τρίτου μέρους από την οποία εξαρτώνται παρομοίως άλλα έργα, αλλά δεν έχουν ακόμη επιδιορθωθεί.”
Με αυτήν την καθυστερημένη έκδοση περισσότερων πληροφοριών για τις επιθέσεις, οι χρήστες του Chrome θα πρέπει να έχουν αρκετό χρόνο για να ενημερώσουν και να αποτρέψουν απόπειρες εκμετάλλευσης έως ότου η Google παράσχει πρόσθετες λεπτομέρειες.