Две новые 0-day устранены в Google Chrome. Всем снова нужно обновляться

Екатерина Быстрова 01 Октября 2021 - 08:59

Домашние пользователи

Уязвимость нулевого дня

Патчи

...

Две новые 0-day устранены в Google Chrome. Всем снова нужно обновляться

Google выпустила очередные срочные обновления для браузера Chrome, устраняющие две новые опасные уязвимости. По данным корпорации, эти бреши активно используются в атаках киберпреступников, поэтому пользователям необходимо как можно скорее обновиться.

Таким образом, это четвёртая и пятая 0-day, которые устранили в популярном интернет-обозревателе только за этот месяц. Уязвимости получили идентификаторы CVE-2021-37975 и CVE-2021-37976 и представляют собой возможность некорректного использования динамической памяти (Use-After-Free) в движке V8 и раскрытие информации в ядре.

Как обычно бывает при таком патчинге, Google пока воздерживается от публикации любых дополнительных деталей, касающихся эксплуатации дыр. Интернет-гигант ждёт, пока подавляющее большинство пользователей обновят браузер.

О проблеме CVE-2021-37975 разработчикам сообщил неназванный исследователь в области кибербезопасности. Вторую брешь нашёл специалист из команды Google Threat Analysis Group.

Новый билд Chrome получил номер 94.0.4606.71 и уже доступен для скачивания на системах Windows, macOS и Linux. Обновить браузер можно стандартно: проследовать в настройки и там найти пункт «О Google Chrome».

Удивительно, но в этом году разработчики устранили рекордные 13 уязвимостей нулевого дня. Буквально на днях мы писали об одиннадцатой 0-day в Chrome.

Следующая главная новость »

ИИ в руках хакеров: как меняются кибератаки в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 30 Июня 2026 - 18:13

Уязвимости программ Ошибки конфигурации программ GenAI (генеративный искусственный интеллект) Домашние пользователи Корпорации

ИИ-браузеры обманули игрой и заставили сливать логины пользователей

Оказывается, современный ИИ можно взломать не только сложным промптом, но и головоломкой. Исследователи из компании LayerX представили технику BioShocking, которая заставляет ИИ-браузеры добровольно воровать данные пользователя. Под удар попали сразу несколько популярных решений, включая ChatGPT Atlas, Perplexity Comet и браузерное расширение Claude от Anthropic.

Суть атаки строится вокруг так называемой косвенной инъекции в промпт. Пользователю достаточно открыть специально подготовленную веб-страницу.

Для человека это обычная игра с абсурдными правилами вроде «2 + 2 = 5». А вот ИИ воспринимает встроенные в страницу инструкции как часть задания и постепенно начинает следовать логике злоумышленника.

Финал игры выглядит так: агенту предлагают получить учётные данные пользователя и передать их атакующему. Во время эксперимента ни один из шести протестированных ИИ не распознал это как опасное действие.

В демонстрации LayerX агент самостоятельно открыл рабочий репозиторий GitHub пользователя, получил учётные данные SSH и отправил их злоумышленнику. Исследователи использовали безвредный текстовый файл, однако отмечают, что аналогичным способом можно добраться до открытых вкладок браузера, корпоративных сервисов, внутренних инструментов и других ресурсов.

Самое опасное здесь не сама головоломка, а возможности ИИ в режиме агента. Такие браузеры умеют нажимать кнопки, переходить по ссылкам, читать содержимое сайтов и выполнять действия от имени пользователя. Если агент уже имеет доступ к аккаунтам, вредоносная страница может превратить его в помощника злоумышленника.

По данным LayerX, реакция разработчиков оказалась неодинаковой. OpenAI устранила проблему в ChatGPT Atlas. Perplexity, как утверждают исследователи, закрыла отчёт без патча. Anthropic выпустила обновление для расширения Claude, но, по мнению LayerX, оно не решило проблему полностью.

Эксперты считают, что ИИ-браузеры должны запрашивать явное разрешение перед доступом к данным из сервисов. А пользователям советуют не держать агентный режим включённым без необходимости.

ИИ в руках хакеров: как меняются кибератаки в 2026?
Регистрируйтесь на эфир!