Τι πρέπει να ξέρετε
- Το Google Chrome έχει ενημερωθεί για να αντιμετωπίσει μια κρίσιμη ευπάθεια zero-day.
- Το ελάττωμα επηρεάζει τη στοίβα WebRTC του προγράμματος περιήγησης, η οποία δέχεται επίθεση.
- Η ενημερωμένη έκδοση κώδικα θα είναι διαθέσιμη σε όλους τους χρήστες τις επόμενες εβδομάδες.
Η Google εξέδωσε μια ενημέρωση κώδικα για την αντιμετώπιση μιας ευπάθειας μηδενικής ημέρας σε ένα στοιχείο των δυνατοτήτων επικοινωνίας σε πραγματικό χρόνο του Chrome. Ο γίγαντας αναζήτησης προειδοποιεί τους χρήστες ότι ήδη γίνεται αντικείμενο εκμετάλλευσης στη φύση.
ο τελευταία ενημέρωση Chrome (έκδοση 103.0.5060.114) για Windows αντιμετωπίζει μια απειλή, με την ένδειξη CVE-2022-2294 (υψηλής σοβαρότητας), την οποία η Google λέει ότι αποτελεί κρίσιμο κίνδυνο ασφάλειας. Η ευπάθεια επηρεάζει την εφαρμογή του WebRTC από το πρόγραμμα περιήγησης, ενός προτύπου που χρησιμοποιείται σε εφαρμογές βίντεο και φωνής για επικοινωνίες σε πραγματικό χρόνο.
Η Google έχει προειδοποιήσει τους χρήστες ότι το ελάττωμα "υπάρχει στη φύση", πράγμα που σημαίνει ότι οι εισβολείς μπορεί να το έχουν ήδη εκμεταλλευτεί. Ανακαλύφθηκε για πρώτη φορά από τον Jan Vojtesek από την ομάδα Avast Threat Intelligence την 1η Ιουλίου.
"Η Google γνωρίζει ότι υπάρχει εκμετάλλευση για το CVE-2022-2294 στη φύση", ανέφερε η εταιρεία σε ανακοίνωσή της.
Η ενημέρωση κώδικα πρόκειται να γίνει διαθέσιμη στους χρήστες του Chrome σε Windows και macOS τις επόμενες εβδομάδες. ΕΝΑ Το patch έχει κυκλοφορήσει και στο Chrome Για Τηλέφωνα Android (έκδοση 103.0.5060.71).
Η Google δεν έχει κοινοποιήσει λεπτομέρειες σχετικά με την ευπάθεια έως ότου η επιδιόρθωση φτάσει στην πλειονότητα των χρηστών.
Η ευπάθεια μπορεί να οδηγήσει σε σφάλματα προγράμματος και αυθαίρετη εκτέλεση κώδικα, σύμφωνα με Υπολογιστής Bleeping. Ακόμη χειρότερα, οι εισβολείς μπορούν να παρακάμψουν το λογισμικό ασφαλείας εάν ο κώδικας έχει ήδη εκτελεστεί.
Η νέα ενημέρωση κώδικα είναι η τέταρτη επιδιόρθωση του Chrome μηδενικής ημέρας φέτος. Τον Φεβρουάριο, τον Μάρτιο και τον Απρίλιο, η εταιρεία κυκλοφόρησε ξεχωριστές ενημερώσεις κώδικα για διάφορα τρωτά σημεία, μερικά από τα οποία εκμεταλλεύτηκαν κρατικοί χάκερ που υποστηρίζονται από τη Βόρεια Κορέα.