Всего полторы недели назад разработчики и Chrome выпустили экстренный патч, чтобы исправить уязвимость нулевого дня в своем браузере (восьмую в этом году). Теперь, с релизом Chrome 108.0.5359.94/.95для Windows, Mac и Linux, в Chrome устранили еще одну 0-day, которую уже использовали хакеры.
Девятая уязвимость нулевого дня в Chrome в этом году получила идентификатор CVE-2022-4262. Пока об уязвимости известно немногое: это проблема типа type confusion, обнаруженная специалистами Google Threat Analysis Group в JavaScript-движке V8.
Отметим, что уязвимости такого типа обычно приводят к сбоям в работе браузера (эксплуатация бага происходит при помощи чтения/записи памяти за пределы буфера), однако злоумышленники также могут использовать такие ошибки для выполнения произвольного кода.
Технические детали уязвимости пока не опубликованы: Google, как обычно, дает пользователям время на установку патчей, сообщая, что «доступ к сведениям об ошибках и ссылкам может быть ограничен до тех пор, пока большинство пользователей не получат исправление».
При этом в компании подчеркивают, что для этой проблемы уже существует эксплоит, и ей уже злоупотребляли злоумышленники.
