Критические уязвимости в Google Chrome позволяют злоумышленникам выполнять удалённый код

Google выпустила важное обновление для своего браузера Chrome, устраняющее несколько уязвимостей с высоким уровнем опасности. Эти уязвимости могут позволить злоумышленникам получить несанкционированный доступ к памяти и выполнять другие опасные действия.

Стабильный канал Chrome был обновлён до версии 131.0.6778.204/.205 для Windows и macOS и до версии 131.0.6778.204 для Linux. Ожидается, что обновление станет доступным для всех пользователей в течение ближайших дней и недель.

Уязвимости Chrome

1. CVE-2024-12692: Проблема с путаницей типов (Type Confusion) в JavaScript-движке V8, обнаруженная Сынгхюном Ли (@0x10n) 5 декабря 2024 года. Эта уязвимость может привести к повреждению кучи через специально созданную HTML-страницу.
2. CVE-2024-12693: Уязвимость с выходом за пределы памяти (Out-of-Bounds Memory Access) в движке V8, обнаруженная исследователем под ником “303f06e3” 4 декабря 2024 года. Этот недостаток позволяет злоумышленникам получить доступ к ограниченным областям памяти, создавая серьёзные угрозы безопасности.
3. CVE-2024-12694: Уязвимость типа «использование после освобождения» (Use After Free) в компоненте композитинга (Compositing), о которой было сообщено анонимным исследователем 19 сентября 2024 года. Этот недостаток может вызвать неожиданные действия или сбои из-за обращения к памяти после её освобождения.
4. CVE-2024-12695: Ещё одна критическая уязвимость с записью за пределы памяти (Out-of-Bounds Write) в движке V8, обнаруженная исследователем “303f06e3” 12 декабря 2024 года.

Google намеренно не раскрывает подробности об этих уязвимостях до тех пор, пока большинство пользователей не обновят свои браузеры. Это сделано для предотвращения их эксплуатации.

В дополнение к вкладу внешних исследователей, внутренние команды безопасности Google устранили множество уязвимостей, обнаруженных с помощью аудитов и передовых инструментов, таких как AddressSanitizer и MemorySanitizer. Эти меры направлены на устранение потенциальных уязвимостей до того, как они будут использованы.

Важность обновления Chrome

Учитывая серьёзность этих уязвимостей, пользователям настоятельно рекомендуется незамедлительно обновить браузер Chrome. Отсрочка обновления может оставить систему уязвимой для атак, использующих эти недостатки.

Как обновить Chrome:

1. Откройте Chrome.
2. Нажмите на три точки в правом верхнем углу.
3. Перейдите в раздел «Справка» > «О Google Chrome».
4. Chrome автоматически проверит наличие обновлений и установит последнюю версию.
5. Перезапустите браузер, чтобы изменения вступили в силу.

Google выразила благодарность всем внешним исследователям, которые внесли вклад в обнаружение этих уязвимостей, и подчеркнула своё намерение продолжать вознаграждать такие усилия через программу Bug Bounty.

Это обновление ещё раз подчёркивает важность регулярного обновления программного обеспечения для минимизации рисков, связанных с всё более сложными киберугрозами, направленными на широко используемые платформы, такие как Chrome.