Хакер #305. Многошаговые SQL-инъекции
Компания Google выпустила патчи для Chrome, суммарно устранившие в браузере более десятка уязвимостей. Среди этих проблем была и серьезная уязвимость нулевого дня, которая уже используется в реальных атаках.
Разработчики традиционно не раскрывают почти никаких технических подробностей об этом 0-day баге, так как не хотят «подсказывать» хакерам и желают дать пользователям как можно больше времени на установку обновлений.
Известно, что уязвимость отслеживается как CVE-2022-2856 и была обнаружена собственными специалистами компании из Google Threat Analysis Group (TAG). Описание проблемы гласит, что она связана с недостаточной проверкой ненадежных входных данных в Intents (функциональности, которая позволяет запускать приложения и веб-службы непосредственно со страницы).
Эта уязвимость стала уже пятым 0-day, который устранен в Chrome в текущему году. Напомню, что ранее в 2022 году инженеры Google исправили в браузере проблемы CVE-2022-1096, CVE-2022-0609, CVE-2022-1364 и CVE-2022-2294.
Другие закрытые на этой неделе уязвимости в основном относятся к категории use-after-free в различных компонентах, включая FedCM, SwiftShader, ANGLE и Blink. Также была исправлена проблема переполнения буфера хипа в Downloads.