Google коригира “в дивата природа” Chrome zero-day – актуализирайте сега! – Гола сигурност

Последната актуализация на Google за браузъра Chrome поправя различен брой грешки в зависимост от това дали използвате Android, Windows или Macи в зависимост от това дали използвате „стабилния канал“ или „разширен стабилен канал“.

Не се притеснявайте, ако намерите множеството публикации в блогове на Google за объркващи…

…и ние го направихме, така че се опитахме да излезем с цялостно обобщение по-долу.

The Стабилен канал е най-новата версия, включваща всички нови функции на браузъра, в момента номерирани Chrome 103.

The Разширен стабилен канал идентифицира себе си като Chrome 102и няма най-новите функции, но има най-новите поправки за сигурност.

Три грешки, номерирани с CVE, са изброени в трите бюлетина, изброени по-горе:

  • CVE-2022-2294: Препълване на буфера в WebRTC. Дупка от нулев ден, вече позната на братството на киберпрестъпниците и активно експлоатирана в дивата природа. Този бъг се появява във всички версии, изброени по-горе: Android, Windows и Mac, както в „стабилен“, така и в „разширен стабилен“ вариант. WebRTC е съкращение от „уеб комуникация в реално време“, която се използва от много услуги за споделяне на аудио и видео, които използвате, като тези за отдалечени срещи, уебинари и онлайн телефонни разговори.
  • CVE-2022-2295: Тип объркване във V8. Терминът V8 се отнася до JavaScript двигателя на Google, използван от всеки уебсайт, който включва JavaScript код, който през 2022 г. е почти всеки уебсайт там. Тази грешка се появява в Android, Windows и Mac, но очевидно само във версията на Chrome 103 („стабилен канал“).
  • CVE-2022-2296: Използване след безплатно в обвивката на Chrome OS. Това е посочено като приложимо към „стабилния канал“ на Windows и Mac, въпреки че черупката на Chrome OS е, както подсказва името, част от Chrome OSкойто не е базиран нито на Windows, нито на Mac.

Освен това Google направи корекция срещу куп грешки, които не са номерирани с CVE, които са общо обозначени с ID на грешка 1341569.

Тези корекции предоставят набор от проактивни корекции, базирани на “вътрешни одити, размиване и други инициативи”, което много вероятно означава, че те не са били известни преди това на никой друг и следователно никога не са били (и вече не могат да бъдат) превърнати в нула- дневни дупки, което е добра новина.

Потребителите на Linux все още не са споменати в бюлетините за този месец, но не е ясно дали това е така, защото нито една от тези грешки не се отнася за кодовата база на Linux, защото корекциите все още не са напълно готови за Linux, или защото грешките не са считани за достатъчно важни, за да получите специфични за Linux корекции.