Google выпустила Chrome 115 и выплатила $60 000 за дыры в V8

Google выпустила Chrome 115 и выплатила $60 000 за дыры в V8

Google выпустила Chrome 115 и выплатила $60 000 за дыры в V8

Вчера Google представила обновление Chrome 115, в котором разработчики устранили 17 уязвимостей, об 11 из которых сообщили сторонние исследователи в области кибербезопасности.

Среди пропатченных багов есть три бреши высокой степени риска. Проблемы несоответствия используемых типов данных затрагивают WebAssembly- и JavaScript-движок V8.

Сообщившие о трех опасных уязвимостях эксперты получили от Google 60 тысяч долларов в рамках программы по поиску багов (Bug Bounty). В частности, 43 тыс. получил исследователь с ником «Jerry», который выявил две из трех упомянутых уязвимостей: CVE-2023-4068 и CVE-2023-4070.

На последнюю из этих дыр (CVE-2023-4069) указал специалист из GitHub Security Lab, что принесло ему 21 тыс. долларов.

В обновлении есть заплатки и для других шести уязвимостей высокой степени риска. Наиболее опасная — CVE-2023-4071, возможность переполнения буфера в компоненте Visuals.

Далее идет возможность чтения и записи за пределами границ в WebGL (CVE-2023-4072), а после нее — доступ к памяти за пределами границ в ANGLE (CVE-2023-4073).

В Google отметили, что сторонние исследователи получили по программе Bug Bounty в общей сложности уже 123 000 долларов. Последняя сборка браузера Chrome имеет номера 115.0.5790.170 (для macOS и Linux) и 115.0.5790.170/.171 (для Windows).

Каждая пятая утечка уже связана с теневым использованием ИИ

Сотрудники всё чаще отправляют рабочие данные в нейросети быстрее, чем службы ИБ успевают понять, что вообще происходит. По данным «Информзащиты», в июле 2026 года уже 20% организаций, столкнувшихся с утечками, хотя бы частично связали инциденты с несанкционированным использованием ИИ. Годом ранее таких случаев было около 12%.

И это не безобидное попросил чат-бота поправить письмо. В публичные ИИ-сервисы загружают договоры, исходный код, внутреннюю переписку, клиентские обращения и техническую документацию.

На веб-интерфейсы нейросетей приходится около 42% подобных инцидентов. Ещё 24% утечек связаны с браузерными расширениями и ИИ-помощниками.

Они получают доступ к вкладкам, истории сессий и cookie, а потом тихо делают то, на что им когда-то нажали «Разрешить». Самостоятельно подключённые API и библиотеки дают ещё 19%, инструменты для программирования — 15%.

Проблема в том, что классические средства защиты часто не видят ничего подозрительного. Домен легитимный, TLS работает, вредоносной сигнатуры нет. Только конфиденциальный документ уже уехал во внешний сервис.

Почти у трети компаний, использующих ИИ, находят хотя бы один API-ключ или секрет в небезопасном месте: конфигурациях, тестовых скриптах, рабочих станциях и Git-репозиториях. Получив такой ключ, атакующий может не только потратить чужой бюджет, но и добраться до подключённых баз данных и RAG-хранилищ.

Дороже всего здесь обходится позднее обнаружение. Инциденты с теневым ИИ в среднем увеличивают ущерб примерно на $670 тыс.

Эксперты советуют начинать не с тотальных запретов, а с инвентаризации сервисов, поиска ключей, контроля расширений и классификации данных. Потому что запретить ChatGPT приказом легко. Гораздо сложнее заметить, что сотрудник уже загрузил туда половину проекта.

RSS: Новости на портале Anti-Malware.ru