Вышел Google Chrome 103 с патчами для 14 уязвимостей

Вышел Google Chrome 103 с патчами для 14 уязвимостей

Вышел Google Chrome 103 с патчами для 14 уязвимостей

Google выпустила новую версию своего браузера Chrome под номером 103. В этот релиз разработчики включили патчи для 14 уязвимостей, о девяти из которых сообщили сторонние исследователи.

Наиболее опасным багом стала брешь под идентификатором CVE-2022-2156 — она получила статус критической. Эта дыра, затрагивающая Base, относится к классу use-after-free (некорректное использование динамической памяти).

О CVE-2022-2156 рассказал специалист команды Google Project Zero Марк Бренд, поэтому денежного вознаграждения за её находку не предусмотрено. Дыры вида use-after-free могу быть опасны: приводить к выполнению кода, повреждению данных, DoS и т. п.

Более того, если условный киберпреступник свяжет use-after-free с другой уязвимостью, он сможет полностью скомпрометировать целевую систему. В случае с Chrome такие баги, как правило, приводят к обходу встроенной в браузер песочницы.

Помимо CVE-2022-2156, в Chrome 103 устранены ещё три use-after-free, о которых уже сообщили сторонние эксперты по кибербезопасности. Они затрагивают следующие компоненты: Interest groups (CVE-2022-2157, высокая степень риска), WebApp Provider (CVE-2022-2161, средняя степень риска), а также Cast UI и Toolbar (CVE-2022-2163, низкая степень риска).

В движках V8 и WebAssembly тоже устранили брешь — CVE-2022-2158, которая имеет потенциально высокую опасность для конечного пользователя.

Как отметили в Google, специалистам выплатили в общей сложности $44 000 за выявленные проблемы в безопасности. Последняя на данный момент сборка получила номер 103.0.5060.53, пользователям Windows, Linux и macOS рекомендуется не медлить с её установкой.

Пять аналогов «Глаза бога» попали под уголовные дела МВД

МВД возбудило пять уголовных дел после обнаружения интернет-площадок, где продавались персональные данные россиян. Речь идёт о сервисах, работавших по принципу «Глаза бога»: заплатил — получил чужую биографию в нескольких файлах.

По данным ведомства, дела расследуются по статье 272.1 УК РФ. Она касается незаконного использования, передачи, сбора и хранения компьютерной информации с персональными данными.

На площадках, как сообщалось ранее, продавались паспортные данные, сведения о банковских счетах и другая конфиденциальная информация. Серверы сервисов изъяты, сейчас следователи изучают их содержимое и собирают доказательства.

Пока МВД не раскрывает названия площадок, число их клиентов и объём проданных данных. Неизвестно и то, сколько именно россиян могло попасть в такие базы.

История, впрочем, знакомая до боли: утечки давно превратили персональные данные в товар, а подпольные сервисы — в обычный маркетплейс. Только вместо скидок и доставки там продают паспорта, счета и чужую частную жизнь.

Теперь владельцам пяти таких площадок придётся объяснять следствию, откуда брались базы, кому они продавались и сколько стоил доступ.

RSS: Новости на портале Anti-Malware.ru