Поисковый гигант Google выпустил новую версию своего популярного интернет-браузера. Chrome 107 устраняет в общей сложности 14 уязвимостей, три из которых относятся к категории высокого риска. Компания узнала об этих проблемах безопасности благодаря внешним исследователям, которые вознаградили каждого из них деньгами. Согласно заявлению, трем исправленным уязвимостям был присвоен высокий рейтинг риска, шести — средний и одной — самый низкий. Чтобы воспользоваться этими уязвимостями, необходимо обманом заставить пользователя открыть специально созданную веб-страницу. После этого этапа становится возможным выполнение кода или DoS-атака на систему.
О чем говорят три опасных дефицита?
Самой опасной уязвимости присвоен идентификатор CVE-2022-3652. Утверждается, что это связано с путаницей типов в V8 JavaScript и движке WebAssembly. Google наградил эксперта по безопасности, который сообщил им об уязвимости, вознаграждением в размере 20 000 долларов. Следующая по важности уязвимость имеет идентификатор CVE-2022-3653. Это открывает возможность переполнения буфера в движке Vulkan. Исследователь, обнаруживший его, получил 17 000 долларов. Последний опасный эксплойт, CVE-2022-3654, использует неправомерное использование динамической памяти. Google еще не определился с суммой денег, которую нужно заплатить за этот дефицит.