W ostatnich dniach Google potwierdziło i szybko załatało podatność, której nadano nazwę: CVE-2022-4135 oraz priorytet: wysoki. Była to już ósma luka 0-day w tym roku związana z przeglądarką Chrome. Podatność do wiadomości publicznej podał oficjalnie zespół Google: Google’s Threat Analysis Group. Zespół stwierdził również, że są świadomi, że podatność mogła być wykorzystywana, mimo, że nie była powszechnie znana i mogli nie być pierwsi w jej znalezieniu.
Obecnie środowiska sieciowe, komputery, systemy i programy, mają coraz lepszą ochronę przed atakami. Hakerom często trudno jest się przebić przez zabezpieczenia, dlatego coraz mniej chętnie dzielą się informacjami o podatnościach 0-day w sieci. W opisywanym przypadku mowa o najpopularniejszej przeglądarce na świecie. Nie powinien dziwić więc fakt, że exploit nie był od razu opublikowany (zakładając, że nie został znaleziony przez tzw. etycznych hakerów).
Sama podatność dotyczy ataku typu „buffer overflow”, który – w uproszczeniu – polega na zapisywaniu danych poza zaalokowaną pamięcią. Co ciekawe, Google nie podało dokładnych informacji dotyczących szczegółów technicznych luki.
Jako że wypuszczono aktualizacje usuwające podatność, warto sprawdzić wersję przeglądarki i zweryfikować, czy jesteśmy chronieni przed tym konkretnym atakiem. Należy podkreślić, że nie dotyczy to jedynie przeglądarki Google Chrome. Podatny jest także Microsoft Edge, bowiem jest on zbudowany na kodzie Chromium (na którym, także opiera się Chrome) i Microsoft również wypuścił aktualizacje do przeglądarek dotyczące CVE-2022-4135.
Bezpieczne wersje przeglądarek (numery równe lub nowsze) to:
Google Chrome: 107.0.5304.121
Microsoft Edge: 107.0.1418.62
Źródło:
Chrome fixes 8th zero-day of 2022 – check your version now (Edge too!)
