В началото на седмицата Google разпространи няколко поправки на сигурността за браузърите Chrome и Chromium… само за да получи доклад за уязвимост от изследователи на компанията за кибер сигурност Avast още същия ден.
В отговор на това Google пусна още една актуализация веднага щом можа. Поправка на една грешка, свързана с CVE-2022-3723, описана с обичайния за Google език.
“Google е наясно със съобщенията, че в реалността съществува експлойт за CVE-2022-3723.”
Тази актуализация на Chrome означава, че сега трябва да търсите версия с номер 107.0.5304.87 или по-нова.
Объркващо е, че това е номерът на версията, който трябва да очаквате на Mac или Linux, докато потребителите на Windows могат да получат 107.0.5304.87 или 107.0.5304.88. Не е ясно защо има два различни номера.
В интерес на истината причината за тази дупка в сигурността е описана като „объркване на типовете във V8“.
Това значи, че в JavaScript енджина е имало използваема грешка, която може да бъде задействана от ненадежден код и ненадеждни данни, постъпили привидно невинно отвън.
Почти сигурно, че само посещението и разглеждането на “миниран” уебсайт – нещо, което не би трябвало да ви доведе до опасност само по себе си – може да бъде достатъчно. Стартира се зловреден код, който имплантира зловреден софтуер на вашето устройство. Няма изскачащи прозорци или други предупреждения за изтегляне.
Какво да направите?
Въпреки че Chrome вероятно ще се актуализира сам, винаги препоръчваме да пробвате сами. За да изпреварите събитията. Както споменахме по-горе, търсите 107.0.5304.87 (Mac и Linux) или една от 107.0.5304.87 и 107.0.5304.88 за Windows.
Използвайте More (Още) > Help (Помощ) > About Google Chrome (За Google Chrome) > Update Google Chrome (Актуализиране на Google Chrome).
Версията на браузъра с отворен код Chromium, поне за Linux, понастоящем също е 107.0.5304.87.
Не сме сигурни дали версията на Chrome за Android е засегната и ако е така, за какъв номер на версията трябва да внимавате.
Предполагаме, че базираните на Chrome браузъри за iOS и iPadOS не са засегнати. Всички браузъри в Apple App Store са принудени да използват подсистемата за сърфиране WebKit на Apple, която не използва V8 JavaScript енджина на Google.
В бележките на Microsoft за Edge е описана актуализация с дата 2022-10-27 (два дни след като изследователите са съобщили за този бъг). В нея CVE-2022-3723 не е посочен като една от поправките на сигурността в тази версия, която е с номер 107.0.1418.24.
Затова приемаме, че получаването на която и да е версия на Edge, по-голяма от тази, ще означава, че Microsoft е публикувала актуализация срещу тази дупка.