Μια ενημέρωση του Chrome 99 που κυκλοφόρησε από την Google την Τρίτη διορθώνει μια κρίσιμη ευπάθεια που ανακαλύφθηκε από έναν από τους ερευνητές της ίδιας της εταιρείας.
Το κρίσιμο ελάττωμα, που παρακολουθείται ως CVE-2022-0971, έχει περιγραφεί ως ένα ζήτημα χωρίς χρήση που επηρεάζει το στοιχείο διάταξης αναλαμπής. Ο Sergei Glazunov του Google Project Zero έχει πιστωθεί για την αναφορά του ελαττώματος.
Η Google δεν αποδίδει συχνά μια αξιολόγηση «κρίσιμης σοβαρότητας» στα τρωτά σημεία του Chrome. Στην πραγματικότητα, τον περασμένο χρόνο, μόνο τέσσερις άλλες ενημερώσεις του Chrome διόρθωσαν ένα κρίσιμο πρόβλημα. Δύο από τα τέσσερα κρίσιμα τρωτά σημεία ανακαλύφθηκαν από τον Glazunov, ο οποίος εντόπισε επίσης ένα σφάλμα υψηλής σοβαρότητας που διορθώθηκε αυτή την εβδομάδα.
Η τελευταία ενημέρωση του Chrome περιλαμβάνει 11 επιδιορθώσεις ασφαλείας, συμπεριλαμβανομένων οκτώ με βαθμολογία “υψηλής σοβαρότητας”. Αυτά τα ελαττώματα, τα οποία μπορούν συνήθως να επιτρέψουν τη διαφυγή του sandbox ή την απομακρυσμένη εκτέλεση κώδικα, είναι ως επί το πλείστον ζητήματα χωρίς χρήση.
Η Google έχει πληρώσει σχεδόν 40.000 $ στους εξωτερικούς ερευνητές που ανέφεραν τα τρωτά σημεία που επιδιορθώθηκαν με αυτήν την ενημέρωση του Chrome, αλλά ορισμένες ανταμοιβές δεν έχουν ακόμη καθοριστεί.
Ο γίγαντας του Διαδικτύου είπε πρόσφατα ότι πλήρωσε σχεδόν 9 εκατομμύρια δολάρια σε bug bounties πέρυσι, συμπεριλαμβανομένων περίπου 3,1 εκατομμυρίων δολαρίων για ευπάθειες του Chrome.
Υπήρξε μια έκρηξη στα τρωτά σημεία του Chrome που αξιοποιήθηκαν στην άγρια φύση, με 14 zero-days να αξιοποιούνται το 2021, πολύ περισσότερο από οποιοδήποτε άλλο δημοφιλές πρόγραμμα περιήγησης ιστού.
Η Google την περασμένη εβδομάδα προσπάθησε να εξηγήσει αυτήν την τάση, αναφέροντας αρκετούς παράγοντες που προφανώς συνέβαλαν. Η λίστα περιλαμβάνει περισσότερη διαφάνεια σχετικά με την ενεργή εκμετάλλευση, αυξημένη πολυπλοκότητα του προγράμματος περιήγησης, την ανάγκη αλυσίδας πολλαπλών ελαττωμάτων για ένα χρήσιμο exploit και εισβολείς που στοχεύουν όλο και περισσότερο το ίδιο το πρόγραμμα περιήγησης μετά το θάνατο του Flash, του πρώην αγαπημένου τους στόχου.
