H Google κυκλοφόρησε μια επείγουσα ενημέρωση ασφαλείας για την έκδοση επιτραπέζιου υπολογιστή του προγράμματος περιήγησης ιστού Chrome, αντιμετωπίζοντας την όγδοη ευπάθεια μηδενικής ημέρας που εκμεταλλεύεται στις επιθέσεις φέτος.
Το ελάττωμα υψηλής σοβαρότητας παρακολουθείται ως CVE-2022-4135 και είναι μια υπερχείλιση buffer στο GPU, που ανακαλύφθηκε από τον Clement Lecigne της Ομάδας Ανάλυσης Απειλών της Google στις 22 Νοεμβρίου 2022.
“Η Google γνωρίζει ότι μια εκμετάλλευση για το CVE-2022-4135 υπάρχει στην άγρια φύση», αναφέρεται στην ανακοίνωση ενημέρωσης.
Καθώς οι χρήστες χρειάζονται χρόνο για να εφαρμόσουν την ενημέρωση ασφαλείας στις εγκαταστάσεις τους στο Chrome, η Google έχει αποκρύψει λεπτομέρειες σχετικά με την ευπάθεια για να αποτρέψει την επέκταση της κακόβουλης εκμετάλλευσής της.
“Η πρόσβαση σε λεπτομέρειες και συνδέσμους σφαλμάτων ενδέχεται να παραμείνει περιορισμένη έως ότου η πλειονότητα των χρηστών ενημερωθεί με μια επιδιόρθωση. Θα διατηρήσουμε επίσης περιορισμούς εάν το σφάλμα υπάρχει σε μια βιβλιοθήκη τρίτου μέρους από την οποία εξαρτώνται παρομοίως άλλα έργα, αλλά δεν έχουν ακόμη επιδιορθωθεί. ” – Google
Γενικά, η υπερχείλιση του buffer σωρού είναι μια ευπάθεια μνήμης που έχει ως αποτέλεσμα την εγγραφή δεδομένων σε απαγορευμένες (συνήθως γειτονικές) τοποθεσίες χωρίς έλεγχο.
Οι εισβολείς μπορούν να χρησιμοποιήσουν υπερχείλιση buffer σωρού για να αντικαταστήσουν τη μνήμη μιας εφαρμογής για να χειριστούν τη διαδρομή εκτέλεσής της, με αποτέλεσμα απεριόριστη πρόσβαση σε πληροφορίες ή αυθαίρετη εκτέλεση κώδικα.
Συνιστάται στους χρήστες του Chrome να κάνουν αναβάθμιση στην έκδοση 107.0.5304.121/122 για Windows και 107.0.5304.122 για Mac και Linux, η οποία απευθύνεται σε CVE-2022-4135.
Για να ενημερώσετε το Chrome, μεταβείτε στις Ρυθμίσεις → Σχετικά με το Chrome → Περιμένετε να ολοκληρωθεί η λήψη της πιο πρόσφατης έκδοσης → Επανεκκινήστε το πρόγραμμα.