Компания уже запустила прогрессивное развертывание новой версии Chrome на канале Stable. Может пройти несколько недель, прежде чем обновление достигнет всей пользовательской базы.
Chrome автоматически проверяет наличие обновлений и устанавливает их при следующем запуске.
Пользователи могут ускорить получение обновления, перейдя в меню > Справка > О браузере Google Chrome или открыв внутреннюю страницу chrome://settings/help напрямую. В этом случае откроется информационная страница с номером текущей версии браузера и запустится проверка и последующая установка доступных обновлений.
Вы также можете скачать новую версию браузера с нашего сайта:
Информация об эксплуатации не раскрывается
В бюллетени безопасности Google сообщает:
Google известно о существовании эксплойта для CVE-2022-1096, который используется в реальных атаках.
Исправленная уязвимость с идентификатором CVE-2022-1096 связана с отсутствием проверки типа передаваемого объекта в JavaScript-движке Chrome V8. Проблема безопасности была обнаружена анонимным исследователем.
Подобные ошибки, связанные с типами объектов, обычно приводят к сбоям браузера после успешной эксплуатации путем чтения или записи памяти за пределами буфера. Также злоумышленники могут использовать подобные уязвимости для выполнения произвольного кода.
Хотя Google обнаружил атаки с эксплуатацией CVE-2022-1096, компания не поделилась техническими подробностями или дополнительной информацией об этих инцидентах.
Google заявляет:
Доступ к дополнительным сведениям об ошибках и ссылкам может быть ограничен до тех пор, пока большинство пользователей не получат исправление.
Ограничения будут сохранены, если уязвимость существует в сторонней библиотеке, от которой также зависят еще не исправленные проекты.
У пользователей Google Chrome должно быть достаточно времени, чтобы обновить Chrome и предотвратить попытки эксплуатации, пока компания не опубликует дополнительную информацию.
Вторая уязвимость нулевого дня в этом году
Текущее обновление устраняет вторую угрозу нулевого дня в Chrome с начала 2022 года, а другую с идентификатором CVE-2022-0609 компания исправила в прошлом месяце.
Группа анализа угроз Google (Threat Analysis Group, TAG) сообщила, что хакеры, поддерживаемые правительством Северной Кореей, использовали CVE-2022-0609 за несколько недель до выхода февральского патча. Самый ранний признак активной эксплуатации был обнаружен 4 января 2022 года.
Уязвимость нулевого дня использовалась двумя отдельными группировками, поддерживаемыми правительством КНДР в кампаниях по распространению вредоносного ПО через фишинговые электронные письма с использованием взломанных сайтов, на которых размещались скрытые элементы iframe.
Исследователи пояснили:
Электронные письма содержали ссылки, которые пытались выдать себя за легитимные веб-сайты по поиску работы, такие как Indeed и ZipRecruiter.
В других случаях наблюдались фальшивые сайты, настроенные для распространения троянских криптовалютных приложений, размещающие iframe и указывающие своим посетителям на набор эксплойтов.
Обновления программ, что нового
• Firefox 139 Beta: повышена производительность загрузки по HTTP/3, улучшены перевод страниц и поддержка PNG
• Обновление NVIDIA GeForce Game Ready 576.28 WHQL. Исправления для RTX 50 и улучшения стабильности работы игр
• Новые функции «Алисы» и «Яндекс Станций» за апрель 2025 года
• Релиз Chrome 136: Обновления безопасности и исправление уязвимости, которая существовала более 20 лет
• Обновление до Windows 11, версия 24H2 блокируется на старых версиях Windows 11 из-за бага в службе WSUS
• Обновление Intel Bluetooth Drivers 23.130.0 для Windows 11 и Windows 10: функциональные улучшения