H Google κυκλοφόρησε μια επείγουσα ενημέρωση ασφαλείας για το πρόγραμμα περιήγησης ιστού για επιτραπέζιους υπολογιστές Chrome για την αντιμετώπιση μιας ευπάθειας που είναι γνωστό ότι χρησιμοποιείται σε επιθέσεις.
Το ελάττωμα υψηλής σοβαρότητας (CVE-2022-3723) είναι ένα σφάλμα τύπου σύγχυσης στη μηχανή Javascript του Chrome V8 που ανακαλύφθηκε και αναφέρθηκε στην Google από αναλυτές της Avast.
“Η Google γνωρίζει τις αναφορές ότι υπάρχει εκμετάλλευση για το CVE-2022-3723 στη φύση”, τονίζει η ειδοποίηση.
Η εταιρεία δεν παρέχει πολλές λεπτομέρειες σχετικά με την ευπάθεια για λόγους ασφαλείας, επιτρέποντας στη βάση χρηστών του Chrome αρκετό χρόνο για να ενημερώσει το πρόγραμμα περιήγησης ιστού στην έκδοση 107.0.5304.87/88, η οποία αντιμετωπίζει το πρόβλημα.
“Η πρόσβαση σε λεπτομέρειες σφαλμάτων και συνδέσμους μπορεί να παραμείνει περιορισμένη έως ότου η πλειοψηφία των χρηστών ενημερωθεί με μια επιδιόρθωση”, λέει.
“Θα διατηρήσουμε επίσης περιορισμούς εάν το σφάλμα υπάρχει σε μια βιβλιοθήκη τρίτου μέρους από την οποία εξαρτώνται ομοίως άλλα έργα, αλλά δεν έχουν ακόμη επιδιορθωθεί.”
Γενικά, τα τρωτά σημεία τύπων σύγχυσης προκύπτουν όταν το πρόγραμμα εκχωρεί έναν πόρο, ένα αντικείμενο ή μια μεταβλητή χρησιμοποιώντας έναν τύπο και στη συνέχεια αποκτά πρόσβαση σε αυτόν χρησιμοποιώντας έναν διαφορετικό, μη συμβατό τύπο, με αποτέλεσμα την πρόσβαση στη μνήμη εκτός ορίων.
Με την πρόσβαση σε περιοχές μνήμης που δεν θα έπρεπε να είναι προσβάσιμες από το περιβάλλον της εφαρμογής, ένας εισβολέας θα μπορούσε να διαβάσει ευαίσθητες πληροφορίες άλλων εφαρμογών, να προκαλέσει σφάλματα ή να εκτελέσει αυθαίρετο κώδικα.
Η Google δεν διευκρινίζει το επίπεδο δραστηριότητας που περιλαμβάνει την εκμετάλλευση που υπάρχει στη φύση, επομένως δεν είναι γνωστό εάν οι επιθέσεις που χρησιμοποιούν CVE-2022-3723 είναι ευρέως διαδεδομένες ή περιορισμένες.