Последнее обновление Google для браузера Chrome исправляет различное количество ошибок, в зависимости от того, используете ли вы Android, Windows или Mac, и в зависимости от того, используете ли вы «стабильный канал» или «расширенный стабильный канал».

Не беспокойтесь, если обилие сообщений в блогах Google сбивает вас с толку…

… мы тоже, поэтому мы попытались придумать все-в-одном резюме ниже.

Ассоциация Стабильный канал это самая последняя версия, включающая все новые функции браузера, в настоящее время пронумерованные Хром 103.

Ассоциация Расширенный стабильный канал идентифицирует себя как Хром 102, и не имеет новейших функций, но имеет последние исправления безопасности.

Три ошибки с номерами CVE перечислены в трех бюллетенях, перечисленных выше:

• CVE-2022-2294: Переполнение буфера в WebRTC. Дыра нулевого дня, уже известная сообществу киберпреступников и активно эксплуатируемая в дикой природе. Эта ошибка появляется во всех перечисленных выше версиях: Android, Windows и Mac, как в «стабильной», так и в «расширенной стабильной» версиях. WebRTC — это сокращение от «веб-общения в реальном времени», которое используется многими службами обмена аудио и видео, которые вы используете, например, для удаленных встреч, вебинаров и телефонных онлайн-звонков.
• CVE-2022-2295: Путаница типов в V8. Термин V8 относится к движку JavaScript Google, используемому любым веб-сайтом, который включает код JavaScript, который в 2022 году есть почти на каждом веб-сайте. Эта ошибка появляется в Android, Windows и Mac, но, по-видимому, только в версии Chrome 103 («стабильный канал»).
• CVE-2022-2296: Use-after-free в Chrome OS Shell. Это относится к «стабильному каналу» в Windows и Mac, хотя оболочка Chrome OS, как следует из названия, является частью Chrome OS, который не основан ни на Windows, ни на Mac.

Кроме того, Google исправила ряд ошибок, не пронумерованных CVE, которые в совокупности помечены как ID ошибки 1341569.

Эти патчи содержат множество упреждающих исправлений, основанных на «внутренних аудитах, фаззинге и других инициативах», что, весьма вероятно, означает, что они ранее никому не были известны, и поэтому никогда не были (и больше не могут быть) обращены в ноль. дневные дыры, что не может не радовать.

Пользователи Linux еще не упоминались в бюллетенях за этот месяц, но неясно, связано ли это с тем, что ни одна из этих ошибок не относится к кодовой базе Linux, с тем, что исправления еще не совсем готовы для Linux, или с тем, что ошибки еще не готовы. считается достаточно важным, чтобы получить исправления для Linux.

Объяснение типов ошибок

Чтобы дать вам очень краткий глоссарий важных категорий ошибок выше:

• Переполнение буфера. Это означает, что данные, предоставленные злоумышленником, выгружаются в блок памяти, размер которого недостаточен для отправленного объема. Если дополнительные данные в конечном итоге «перетекают» в пространство памяти, уже используемое другими частями программного обеспечения, они могут (или в данном случае действительно) преднамеренно и предательски повлиять на поведение браузера.
• Путаница типа. Представьте, что вы предоставляете такие данные, как «цена продукта», которые браузер должен интерпретировать как простое число. Теперь представьте, что позже вы можете обмануть браузер, заставив его использовать только что введенное вами число, как если бы это был адрес памяти или текстовая строка. Число, которое прошло проверку, чтобы убедиться, что это законная цена, вероятно, не является допустимым адресом памяти или текстовой строкой и, следовательно, не было бы принято без уловки, заключающейся в том, чтобы ввести его под видом другого типа данных. Вводя данные, которые «действительны при проверке, но недействительны при использовании», злоумышленник может преднамеренно изменить поведение браузера.
• Использование после освобождения. Это означает, что одна часть браузера неправильно продолжает использовать блок памяти после того, как он был возвращен системе для перераспределения в другом месте. В результате данные, которые уже были проверены на безопасность (с помощью кода, который предполагает, что он «владеет» соответствующей памятью), могут в конечном итоге быть скрытно изменены непосредственно перед тем, как они будут использованы, таким образом предательски влияя на поведение браузера.

Что делать?

Chrome, вероятно, обновится сам, но мы все равно всегда рекомендуем проверять.

В Windows и Mac используйте Больше > Документи > О Google Chrome > Обновите Google Chrome.

На Android убедитесь, что ваши приложения Play Store обновлены.

После обновления вы ищете версию 102.0.5005.148 если вы используете «расширенную стабильную» версию; 103.0.5060.114 если вы находитесь на «стабильном» пути; а также 103.0.5060.71 на Android.

В Linux мы не уверены, какой номер версии искать, но вы можете Документи > О нас > Обновление ПО в любом случае потанцуйте с безопасностью, чтобы убедиться, что у вас есть последняя версия, доступная прямо сейчас.