Μια ενημέρωση του Chrome 100 που ανακοίνωσε την Πέμπτη η Google επιλύει δύο ευπάθειες στο δημοφιλές πρόγραμμα περιήγησης, συμπεριλαμβανομένου ενός που έχει ήδη αξιοποιηθεί στη φύση.
Παρακολούθηση ως CVE-2022-1364 και θεωρείται “υψηλής σοβαρότητας”, η εκμεταλλευόμενη τρύπα ασφαλείας περιγράφεται ως σύγχυση τύπου στον κινητήρα V8 JavaScript και WebAssembly.
Οι επιθέσεις που στοχεύουν σφάλματα σύγχυσης τύπου στον κινητήρα V8 του Chrome μπορεί να οδηγήσουν σε αυθαίρετη εκτέλεση κώδικα. Όλα τα προγράμματα περιήγησης που βασίζονται στο Chromium επηρεάζονται.
«Η Google γνωρίζει ότι μια εκμετάλλευση για το CVE-2022-1364 υπάρχει στη φύση», προειδοποιεί ο γίγαντας του Διαδικτύου.
Το ελάττωμα ασφαλείας εντοπίστηκε και αναφέρθηκε από τον Clément Lecigne του Threat Analysis Group της Google την Τετάρτη. Σύμφωνα με τις πολιτικές της Google, δεν θα εκδοθεί επιβράβευση σφαλμάτων για αυτό το ελάττωμα.
Η πιο πρόσφατη επανάληψη του Chrome διατίθεται τώρα σε χρήστες Windows, Mac και Linux ως έκδοση 100.0.4896.127.
Αυτή είναι η τέταρτη ενημέρωση του Chrome που κυκλοφορεί η Google μέσα σε χρονικό διάστημα τριών εβδομάδων. Η πρώτη ήταν μια ενημέρωση έκτακτης ανάγκης που εκδόθηκε στις 25 Μαρτίου για την αντιμετώπιση μιας ευπάθειας μηδενικής ημέρας.
Η Google έχει επιλύσει τρία ελαττώματα του Chrome zero-day μέχρι στιγμής το 2022, συμπεριλαμβανομένου ενός που έχει εκμεταλλευτεί τουλάχιστον δύο βορειοκορεατικές κρατικές ομάδες χάκερ σε επιθέσεις σε εκατοντάδες οντότητες σε όλο τον κόσμο.
Πέρυσι, αναφέρθηκαν 14 Zero-day εκμετάλλευσης του Chrome στην άγρια φύση, δείχνοντας ότι οι φορείς απειλών ενδιαφέρονται όλο και περισσότερο για το πρόγραμμα περιήγησης της Google σε σύγκριση με το Firefox, το Safari και τον Internet Explorer.