Яндекс помог устранить уязвимость в движке V8 для браузеров на Chromium

Инженер по информационной безопасности Яндекса обнаружил и помог устранить уязвимость высокого уровня опасности в коде проекта Chromium, на базе которого создаются многие современные браузеры. Уязвимость могла позволить злоумышленникам выполнять действия в браузере, которые сделали бы его потенциальной составляющей в сложных цепочках атак.

Уязвимость была найдена в движке V8, который разрабатывается Google. Этот JavaScript-движок используется в Google Chrome, Яндекс Браузере, Microsoft Edge и ряде других браузеров на основе Chromium. V8 распространяется под свободной лицензией, что позволяет разработчикам со всего мира изучать код, дорабатывать его и использовать в собственных проектах.

В Яндексе действует строгая практика проверки стороннего кода, который используется в продуктах и сервисах компании. Все обновления обязательно анализируются на предмет возможных уязвимостей. Такой подход повышает уровень безопасности и позволяет заранее выявлять потенциальные риски.

Во время одной из таких проверок специалист Яндекса обнаружил уязвимость и предложил разработчикам V8 вариант исправления. Google приняла этот вариант и включила его в обновление, вышедшее в сентябре в актуальной версии движка V8.

Только определённые версии движка V8 содержали уязвимость. В Яндекс Браузере использовалась версия без ошибки, поэтому его пользователей уязвимость не коснулась. Все обновления Браузера будут включать уже исправленную версию.

пресс-служба «Яндекса»

Компания подчёркивает, что регулярно выпускает обновления безопасности для Яндекс Браузера независимо от графика обновлений основных компонентов Chromium. Благодаря этому пользователи получают защиту максимально оперативно. Автоматическая система обновлений обеспечивает своевременную доставку всех улучшений и исправлений.