Google рекомендует пользователям скорее обновить десктопные версии браузера Chrome, чтобы защититься от серьезной уязвимости переполнения буфера стека. Соответствующее предупреждение компания опубликовала в четверг 26 октября, отметив, что она уже выпустила обновление для большинства браузеров.

«Мы обновили стабильную ветку браузера до версии 62.0.3202.75 на платформах Windows, Mac и Linux, и будем развертывать ее в ближайшие дни или недели», — написал в бюллетене безопасности Абдул Сайед (Abdul Syed), один из разработчиков Google Chrome.

Специалисты Google сообщили, что баг скрывался в Chrome V8, открытом движке JavaScript, который применялся на ОС Windows 7 и macOS 10.5 и более поздних версиях этих систем, а также на Linux-системах для процессоров с 32-разрядной архитектурой Intel (i386), ARM или MIPS.

Компания не спешит выпускать подробности уязвимости переполнения буфера стека CVE-2017-15396, аргументируя это тем, что «доступ к подробному описанию бага и ссылкам на него должен быть ограничен, пока большинство пользователей не установят обновление. Более того, мы не будем разглашать детали, пока не убедимся, что баг пропатчен в других проектах на основе этой сторонней библиотеки». По информации Google, движок Chrome V8 написан на C++ и Node.js, его можно встраивать в любые приложения на C++ или запускать отдельно.

Подобные баги обычно позволяют злоумышленникам выполнять произвольный код в рамках целевого приложения. Неудачная попытка воспользоваться эксплойтом заканчивается ошибкой типа «отказ в обслуживании», если верить описанию уязвимости на сайте сообщества OWASP.

Согласно анализу бреши, проведенному исследователями из Risk Based Security, ошибка закралась в библиотеку International Components for Unicode для C/C++, применяемую в V8. «В конечном счете, хотя баг поставил под удар V8 и Chrome, ошибочный код родился не в стенах Google», — утверждают эксперты Risk Based Security. Об этой уязвимости, названной ошибкой переполнения буфера при обработке нуль-терминированной строки, стало известно 11 октября.

ИБ-эксперт Ю Чжоу (Yu Zhou) из Ant-Financial Light-Year Security Lab заявил о существовании бага 30 сентября. За свою находку он получил 3000 долл. США в рамках программы Google по отлову багов.

В декабре 2016 года Google также закрыла несколько серьезных уязвимостей в Chrome, связанных с движком JavaScript V8. Один из багов давал «доступ к приватным свойствам в V8», а второй представлял собой уязвимость use-after-free.

В пятницу 27 октября Компьютерная команда экстренной готовности США (US-CERT) выпустила предупреждение об уязвимости переполнения буфера.

Днем ранее Google также обновила версию Chrome для Android (62.0.3202.73), исправив в ней баг с утечкой памяти и «серьезную проблему с аварийным завершением работы», как описано в бюллетене.

В последний раз Google обновляла десктопную версию браузера Chrome 62 еще 17 октября. Прошлое обновление до версии 62.0.3202.62 включало 35 исправлений безопасности, восемь из которых отнесены к серьезным, а семь — к средней степени тяжести. Наиболее щедрое вознаграждение в размере почти 9 тыс. долларов США Google выплатила анонимному эксперту за уязвимость UXSS с HHTML (CVE-2017-5124). Данная брешь, согласно описанию на Red Hat, «проявляется во время обработки искаженного веб-контента. Веб-страница с вредоносным контентом может вызвать аварийное завершение работы Chromium, выполнить произвольный код или украсть личные данные посетителя.

Категории: Главное, Кибероборона