Google устранил уязвимость нулевого дня в Chrome: что это значит для пользователей?

11:55 29/03/2022
Фото: Елена Андреева, "«Мир 24»":http://mir24.tv/, логотипы, гугл
ФОТО : МТРК «Мир» / Елена Андреева

Компания Google выпустила внеочередное обновление Chrome 99.0.4844.84 для Windows, macOS и Linux, устранив некую уязвимость нулевого дня, которая эксплуатировалась злоумышленниками, сообщает 3DNews. Что такое уязвимость нулевого дня и от каких рисков спасло пользователей это обновление, рассказал специалист по кибербезопасности Сергей Вакулин.

«Уязвимость нулевого дня – это уязвимость, которая не известна никому. Есть различные уязвимости, для которых существуют распространенные и уже известные методы защиты. Но с уязвимостью нулевого дня так не работает, потому что здесь каждый случай и каждая ошибка уникальна. Опасностей тут множество: от обрушения сайта и до кражи данных», – отмечает Сергей Вакулин.

По словам эксперта, название «уязвимость нулевого дня» своего рода сарказм – ведь разработчику дается ноль дней для того, чтобы ее устранить.

«Если говорить проще, то в случае с другими уязвимостями разработчики хотя бы могут прочитать в интернете о том, как их устранить, поскольку кто-то уже сталкивался с ними ранее. В случае с уязвимостью нулевого дня так не сделаешь – разработчикам нужно изучить саму уязвимость, понять, какие данные она затрагивает или может затрагивать, самим изготовить лекарство от нее», – комментирует Сергей Вакулин.

Исправленная уязвимость в обновлении Chrome получила номер CVE-2022-1096 – она связана с отсутствием проверки типов объектов JavaScript-движком Chrome V8. Успешная эксплуатация подобных ошибок позволяет считывать или записывать данные в память вне буфера, а злоумышленники могут запускать на выполнение произвольный код, говорится в материале.

«В данном случае злоумышленник мог удаленно отправлять произвольный код и затрагивать данные пользователей. Например, cookie, сохраненные логины и пароли, номера банковских карт. Как правило, такие данные записываются в буфер (то есть, во временное хранилище на время использования), но благодаря этой уязвимости можно было обойти данное ограничение. Помимо данных, злоумышленник мог тайно перевести жертву на фишинговый сайт, использовать ее для проведения DDos атак или для майнинга», – резюмирует эксперт.