Google предупредил пользователей о новых уязвимостях в Chrome
Google подтвердила наличие двух новых критических уязвимостей информационной безопасности Chrome, что вызвало еще одно обновление с момента выпуска Chrome 81 7 апреля. Новые угрозы безопасности могут позволить злоумышленнику получить полный доступ над эксплуатируемой системой, в связи с чем американское агентство по кибербезопасности и инфраструктурной безопасности (CISA) посоветовало пользователям произвести обновление незамедлительно.
Каковы данные уязвимости Chrome и на что они влияют
Первая уязвимость получила идентификатор CVE-2020-6462. Данная брешь может быть использована после освобождения планирования задач Chrome. За обнаружение данной бреши Google выплатил в рамках Bug Bounty вознаграждение в размере $ 10 000 (£8 000).
Другая уязвимость, CVE-2020-6461, также была разновидностью первой, но на этот раз она влияла на хранение данных. Она бала обнаружена ИБ-исследователями из Qihoo 360 – китайской компании по кибербезопасности.
Обе уязвимости относятся к разновидности use-after-free, которая заключается в попытке получить доступ к памяти после того, как она была освобождена в другом месте, с целью выполнения произвольного кода. В случае CVE-2020-6461 уязвимость use-after-free существует в хранилище. Чтобы воспользоваться ей, злоумышленник должен создать вредоносную веб-страницу и убедить пользователя посетить её. CVE-2020-6462 существует в рамках планирования задач, и для выполнения произвольного кода злоумышленнику потребуется та же методология эксплойта как и в первом случае.
Что делать
Хорошая новость заключается в том на текущий момент не удается найти каких-либо доказательств того, что любая из этих уязвимостей активно используется хакерами. Однако, это не значит, что их не будет в будущем.
Еще более приятная новость заключается в том, что Google выпустил обновление Chrome 81.0.4044.129, которое CISA рекомендует всем пользователям Chrome для Windows, Mac и Linux произвести как можно быстрее.