Компания Google выпустила стабильную версию браузера Chrome 149, которая содержит исправление рекордного числа уязвимостей - 429 ошибок безопасности. Среди них 22 имеют критический уровень опасности. Эти недостатки могут привести к удаленному выполнению кода, повреждению памяти и обходу изолированной программной среды (песочницы). Обновление уже начало распространяться на пользователей Windows, macOS и Linux.
Детали уязвимостей
Версия 149.0.7827.53/54 включает исправления в таких компонентах, как ANGLE (прослойка для графических API), графический процессор, сетевая подсистема, Ozone (абстракция оконной системы) и других частях Chrome. Большинство критических уязвимостей связаны с проблемами безопасности памяти. Речь идет об ошибках типа использования памяти после освобождения, а также чтения или записи за пределами выделенного буфера. Эти классы уязвимостей остаются постоянным вектором атак на современные браузеры. Злоумышленники могут эксплуатировать данные ошибки с помощью специально созданного веб-контента, что позволяет выполнить произвольный код в контексте браузера. Особую тревогу вызывают уязвимости в компонентах графического процессора и ANGLE, которые часто становятся мишенью из-за своей сложности и прямого взаимодействия с аппаратными слоями ускорения.
Google, следуя стандартной практике, ограничила детальные технические описания многих уязвимостей до тех пор, пока большинство пользователей не установят обновление. Это делается для предотвращения активной эксплуатации ошибок до выхода исправлений. Сообщается, что уязвимости были найдены как внешними исследователями, так и внутренними командами безопасности. Вознаграждения за найденные баги достигали 97 тысяч долларов США за наиболее опасные находки.
С точки зрения анализа угроз, уязвимости в сетевом компоненте, файловой системе и подсистеме паролей вызывают особенное беспокойство. Они могут быть использованы для кражи данных или повышения привилегий при комбинировании с другими вредоносными программами. Кроме того, ошибки в функциях Chromecast, Cast Streaming и Chromoting указывают на потенциальные риски при удаленной трансляции и взаимодействии с устройствами. Таким образом, поверхность атаки расширяется за пределы традиционного использования браузера.
Среди критических уязвимостей преобладают ошибки типа использования после освобождения - их четырнадцать. Ещё пять относятся к записи за пределами буфера, две - к чтению за пределами буфера и одна - к переполнению буфера стека. Все эти классы ошибок позволяют злоумышленнику нарушить целостность памяти браузера, что в итоге может привести к выполнению произвольного кода. Учитывая, что многие уязвимости затрагивают компоненты, работающие за пределами песочницы (например, графический процессор), обход механизмов изоляции становится вполне вероятным.
Примечательно, что данный выпуск стал одним из самых масштабных по числу исправлений за всю историю Chrome. По мнению специалистов, это отражает как рост сложности кодовой базы браузера, так и повышенное внимание исследователей к его безопасности. Многие уязвимости были обнаружены в рамках внутренних программ аудита, а также через инициативу по вознаграждению за найденные ошибки. Внешние исследователи сообщили о значительной части багов, что подтверждает важность краудсорсинга в поиске уязвимостей.
Организациям и обычным пользователям настоятельно рекомендуется немедленно обновить Chrome до последней версии. Учитывая масштаб и серьезность исправлений, этот выпуск подчеркивает важность укрепления безопасности браузеров и своевременного управления обновлениями в рамках корпоративных стратегий защиты информации. Даже с учетом того, что браузеры имеют многоуровневую защиту, такие массовые исправления показывают, насколько активно атакующие ищут новые способы проникновения. Пользователям стоит обратить внимание на то, что обновление выходит постепенно, поэтому, если автоматическая установка еще не произошла, следует проверить наличие новой версии вручную в настройках браузера. Затягивание с установкой патчей может привести к серьезным последствиям: от компрометации личных данных до полного захвата контроля над системой.
В целом, данное обновление служит напоминанием о том, что даже самые защищенные программные продукты требуют постоянного внимания к безопасности. Chrome остаётся одной из главных целей для злоумышленников из-за своей популярности, поэтому своевременное применение обновлений - ключевой элемент защиты. Рекомендуется также использовать дополнительные меры, такие как включение режима усиленной защиты и ограничение установки расширений из ненадежных источников. Однако основным барьером остается своевременная установка всех предлагаемых производителем исправлений.
Ссылки
