Google выпустит обновление для устранения серьезной уязвимости в Chrome
В пятницу компания сообщила в своем блоге, что уязвимость обнаружена в версиях браузера Chrome для операционных систем Windows, Mac и Linux. Обновление для устранения этой проблемы будет выпущено в ближайшие недели.
30 августа об уязвимости в Chrome в компанию сообщил анонимный исследователь кибербезопасности. Уровень серьезности данной уязвимости оценивается как высокий. Это второй по величине уровень риска в общей системе оценки уязвимостей - стандартной отраслевой структуре для измерения рисков кибербезопасности. Уязвимость отслеживается как CVE-2022-3075.
Чтобы снизить риск кибератак, Google не будет раскрывать подробную техническую информацию об уязвимости, до тех пор, пока большинство пользователей Chrome не скачают обновление. Однако поисковый гигант поделился тем, какой именно компонент Chrome подвержен уязвимости.
Chrome основан на браузере с открытым исходным кодом под названием Chromium, который также разработан Google. Уязвимость затрагивает Mojo - набор библиотек времени выполнения, включенный в Chromium. Библиотека времени выполнения — это часть программного обеспечения, от которой зависит работа другой программы, в данном случае Chrome.
Программа, которая активно работает на компьютере, называется процессом. Чтобы оптимизировать надежность Chrome, Google разработала браузер таким образом, чтобы каждая вкладка, открываемая пользователем, выполнялась в отдельном процессе. Mojo, компонент, в котором была обнаружена недавно раскрытая уязвимость, используется для обмена данными между процессами Chrome.
Chrome использует Mojo для выполнения некоторых вычислений, связанных с отрисовкой веб-страниц. Этот компонент также используется и для некоторых других задач.
По словам Google, недавно обнаруженная уязвимость является результатом «недостаточной проверки данных» в Mojo. Проверка данных — это метод блокировки попыток хакеров ввести вредоносные данные в приложение. Если приложение выполняет проверку данных неэффективно, то оно может стать уязвимым для определенных типов кибератак.
Уязвимость безопасности является последней из серии уязвимостей Chrome, которые Google исправила с начала года. В апреле компания выпустила исправление для еще одной серьезной уязвимости, затрагивающей движок JavaScript браузера. Движок отвечает за обработку кода, написанного на языке программирования JavaScript, который широко используется для создания веб-страниц.
Обнаружение последней уязвимости Chrome произошло через несколько дней после того, как компания запустила новую программу для повышения безопасности Chromium и других своих проектов с открытым исходным кодом. В рамках программы Google будет предлагать вознаграждение исследователям, обнаружившим недостатки кибербезопасности в своем программном обеспечении с открытым исходным кодом.
Эти усилия являются одним из элементов более широкого плана Google по инвестированию в кибербезопасность 10 миллиардов долларов в течение следующих пяти лет. В рамках этих усилий Google также планирует поддерживать сторонние инициативы по устранению уязвимостей программного обеспечения. Поисковый гигант предоставит 100 миллионов долларов различным фондам. В частности, фонду OpenSSF, который был запущен ранее в этом году для поиска и устранения уязвимостей в популярных проектах с открытым исходным код.
