Google выпустила Chrome 112 в стабильном канале с исправлениям | SecAtor

Google выпустила Chrome 112 в стабильном канале с исправлениями для 16 уязвимостей, 2 из которых имеют рейтинг высокой степени серьезности и 9 - средний.

Самая серьезная из них — ошибка переполнения буфера кучи в Visuals. Уязвимость, отслеживаемая как CVE-2023-1810, была обнаружена Weipeng Jiang из VRI в феврале 2023 г., который заработал за это 5000 долларов США.

Другая уязвимость связана с использованием после освобождения во фреймах и отслеживается как CVE-2023-1811. Google выплатила вознаграждение в размере 3000 долларов США обнаружившему ее Томасу Орлита. Эта проблема может привести к сбою или RCE.

Исправленные уязвимости средней степени серьезности включают ошибки различных категорий (от доступа за пределы памяти до переполнения буфера кучи) и затрагивают такие компоненты, как привязки DOM, безопасный просмотр, сетевые API, функцию «картинка в картинке», специальные возможности, историю браузера, расширения и Vulkan.

Три уязвимости с низким уровнем серьезности влияют на компоненты WebShare, Navigation и FedCM.

Последняя версияила Chrome доступна как 112.0.5615.49/50 для Windows и как версия 112.0.5615.49 для Linux и macOS.

Несмотря на то, что Google не упоминает об использовании этих уязвимостей в реальных атаках, мы прекрасно помним, как Lazarus Group использовали 0-day для удаленного выполнения кода в браузере еще за месяц до того, как стало доступно исправление, в том числе и в атаках на инфосек экспертов.

Так что всем причастным к отрасли ИБ необходимо срочно обновить свои Chrome. Ну, и остальным тоже.