Компания уже запустила прогрессивное развертывание новой версии Chrome на канале Stable. Может пройти несколько недель, прежде чем обновление достигнет всей пользовательской базы.
Chrome автоматически проверяет наличие обновлений и устанавливает их при следующем запуске.
Пользователи могут ускорить получение обновления, перейдя в меню > Справка > О браузере Google Chrome или открыв внутреннюю страницу chrome://settings/help напрямую. В этом случае откроется информационная страница с номером текущей версии браузера и запустится проверка и последующая установка доступных обновлений.
Вы также можете скачать новую версию браузера с нашего сайта:
Информация об эксплуатации не раскрывается
В бюллетени безопасности Google сообщает:
Google известно о существовании эксплойта для CVE-2022-1096, который используется в реальных атаках.
Исправленная уязвимость с идентификатором CVE-2022-1096 связана с отсутствием проверки типа передаваемого объекта в JavaScript-движке Chrome V8. Проблема безопасности была обнаружена анонимным исследователем.
Подобные ошибки, связанные с типами объектов, обычно приводят к сбоям браузера после успешной эксплуатации путем чтения или записи памяти за пределами буфера. Также злоумышленники могут использовать подобные уязвимости для выполнения произвольного кода.
Хотя Google обнаружил атаки с эксплуатацией CVE-2022-1096, компания не поделилась техническими подробностями или дополнительной информацией об этих инцидентах.
Google заявляет:
Доступ к дополнительным сведениям об ошибках и ссылкам может быть ограничен до тех пор, пока большинство пользователей не получат исправление.
Ограничения будут сохранены, если уязвимость существует в сторонней библиотеке, от которой также зависят еще не исправленные проекты.
У пользователей Google Chrome должно быть достаточно времени, чтобы обновить Chrome и предотвратить попытки эксплуатации, пока компания не опубликует дополнительную информацию.
Вторая уязвимость нулевого дня в этом году
Текущее обновление устраняет вторую угрозу нулевого дня в Chrome с начала 2022 года, а другую с идентификатором CVE-2022-0609 компания исправила в прошлом месяце.
Группа анализа угроз Google (Threat Analysis Group, TAG) сообщила, что хакеры, поддерживаемые правительством Северной Кореей, использовали CVE-2022-0609 за несколько недель до выхода февральского патча. Самый ранний признак активной эксплуатации был обнаружен 4 января 2022 года.
Уязвимость нулевого дня использовалась двумя отдельными группировками, поддерживаемыми правительством КНДР в кампаниях по распространению вредоносного ПО через фишинговые электронные письма с использованием взломанных сайтов, на которых размещались скрытые элементы iframe.
Исследователи пояснили:
Электронные письма содержали ссылки, которые пытались выдать себя за легитимные веб-сайты по поиску работы, такие как Indeed и ZipRecruiter.
В других случаях наблюдались фальшивые сайты, настроенные для распространения троянских криптовалютных приложений, размещающие iframe и указывающие своим посетителям на набор эксплойтов.
Обновления программ, что нового
• Релиз ONLYOFFICE 9.0.4: ИИ-агент и новые функции
• Новое в Google Chrome 139: ИИ-режим рекомендаций поиска и обновления безопасности
• Android 16 для Realme: сроки выпуска, устройства и нововведения Realme UI 7.0
• ИИ-модель GPT-5 будет доступна в GitHub Models, ChatGPT и Microsoft Copilot
• Redmi 15C 5G: новые детали о зарядке и характеристиках смартфона
• Утечка данных о GPT-5: OpenAI готовит анонс новой модели