Google предупредила пользователей о 19 уязвимостях в браузере Chrome

В официальном блоге компания Google сообщила, что в браузере Chrome для Linux, macOS и Windows было обнаружено 19 проблем безопасности. В частности, IT-гигант заявил, что пять из этих уязвимостей имеет “высокую” угрозу безопасности для пользователей. 

В настоящее время Google не раскрывает данных о недостатках, это стандартная практика – ограничить распространение информации и выиграть время для защиты пользователей. 

Ниже краткие сведения о пяти основных угрозах: 

• Высокий – CVE-2021-37956: уязвимость с автономным режимом (Huyna из Viettel Cyber ​​Security 24 августа 2021);
• Высокий – CVE-2021-37957: уязвимость WebGPU (Looben Yang 23.08.2021);
• Высокий – CVE-2021-37958: неправильная реализация в навигации (Джеймс Ли (@Windowsrcer) 24.06.2021);
• Высокий – CVE-2021-37959: проблемы в диспетчере задач (raven (@raid_akame) 15 июля 2021);
• Высокий – CVE-2021-37960: несоответствующая реализация в графике Blink (Атте Кеттунен из OUSPG 07.09.2021).

Стоит отметить, что три из пяти угроз являются уязвимостями «Use-After-Free» (UAF). UAF стал популярным способом атаковать Chrome в последнее время, и все пять других угроз безопасности с высоким рейтингом, обнаруженных в браузере ранее в этом месяце, использовали этот метод. 

Уязвимости Use-After-Free связаны с некорректным использованием динамической памяти во время работы программы. Эта память, которую также называют «куча» (heap), в отличие от стека (stack), предназначена для хранения больших объемов данных. В ней могут выделяться блоки произвольного размера, которые впоследствии можно изменять или освобождать и возвращать в “кучу”, чтобы затем использовать их же для другой задачи в рамках той же программы.

Поскольку динамическая память неоднократно перераспределяется, программе нужно постоянно проверять, какие участки “кучи” свободны, а какие заняты. Этот контроль осуществляется при помощи служебных заголовков для выделенных участков памяти, содержащих адрес начала блока. Ошибками в управлении заголовками пользуются хакеры.

Чтобы побороть новые угрозы, всем пользователям Chrome следует перейти в « Настройки» > «Справка» > «О Google Chrome» и если версия вашего браузера в Linux, macOS или Windows указана как 94.0.4606.54 или выше, вы в безопасности. 

Google заявляет, что новая защищенная версия Chrome «будет выпущена в ближайшие дни / недели», поэтому вы не сможете защитить себя сразу. Если вы можете выполнить обновление сейчас, сделайте это, а затем немедленно перезапустите браузер.

Примечание: вы не в безопасности, пока не завершите перезапуск. 

А теперь прекратите читать эту статью и обновите свой браузер 🙂