Medan folk firade den fjärde juli-semestern i USA, rullade Google i tysthet ut en stabil kanaluppdatering för Chrome för att korrigera en aktivt utnyttjad nolldagarssårbarhet, det fjärde felet som leverantören har varit tvungen att korrigera i sin webbläsarprodukt hittills det här året.

Chrome 103 (103.0.5060.71) för Android och version 103.0.5060.114 för Windows och Mac, som beskrivs i separat blogginlägg publicerad i måndags, fixa ett fel i heap-buffertspill i WebRTC, motorn som ger webbläsaren dess kommunikationsförmåga i realtid.

Sårbarheten, spårad som CVE-2022-2294 och rapporterades av Jan Vojtesek från Avast Threat Intelligence-teamet den 1 juli, beskrivs som ett buffertspill, "där bufferten som kan skrivas över allokeras i högdelen av minnet", enligt sårbarhetens lista på webbplatsen Common Weakness Enumeration (CWE).

Som vanligt avslöjade Google inte specifika detaljer om felet, eftersom det i allmänhet väntar tills de flesta har uppdaterat till den korrigerade versionen av den berörda produkten. Faktum är att uppdatering rekommenderas starkt, eftersom utnyttjande av sårbarheten redan finns i naturen, sa Google.

Dessutom, med få detaljer som avslöjas om felet – en vana hos Google som många säkerhetsforskare tycker är frustrerande – vid denna tidpunkt är en uppdatering egentligen enda sättet att försvara sig mot attacker som utnyttjar bristen. Lyckligtvis skjuts Google Chrome-uppdateringar ut utan användaringripande, så de flesta användare kommer att skyddas när patchar är tillgängliga.

Buffertspill leder i allmänhet till krascher eller andra attacker som gör det berörda programmet otillgängligt, inklusive att sätta programmet i en oändlig loop, enligt CWE-listan. Angripare kan dra fördel av situationen genom att använda kraschen för att exekvera godtycklig kod, vanligtvis utanför ramen för programmets säkerhetspolicy.

"Förutom viktig användardata, kan heap-baserade överflöden användas för att skriva över funktionspekare som kan finnas i minnet och peka på angriparens kod", enligt listan. "Även i applikationer som inte uttryckligen använder funktionspekare, kommer körtiden vanligtvis att lämna många i minnet."

Andra korrigeringar

Förutom att åtgärda felet med nolldagars buffertspill, korrigerar Chrome-versionerna också ett typförvirringsfel i V8 JavaScript-motorn som spåras som CVE-2022-2295 och rapporterade 16 juni av forskare "avaue" och "Buff3tts" vid SSL, enligt inlägget.

Detta är det tredje sådana felet i den öppen källkodsmotor som används av Chrome och Chromium-baserade webbläsare som korrigerats bara i år. I mars spårades ett separat typförvirringsproblem i V8 JavaScript-motorn CVE-2022-1096 och under aktiv attack sporrade en hastig lapp  från Google.

Sedan i april lappade företaget CVE-2022-1364, en annan typ av förvirringsfel som påverkar Chromes användning av V8 som angripare redan hade kastat sig ut på.

Ett annat fel som korrigerats i måndagens Chrome-uppdatering är ett fel i Chrome OS Shell som rapporterades av Khalil Zhani den 19 maj och spårades som CVE-2022-2296, enligt Google. Alla brister som korrigerades i veckans uppdatering fick betyget högt. Uppdateringarna innehåller också flera korrigeringar från interna revisioner, fuzzing och andra initiativ, sa Google.

Innan de korrigerade Chrome V8 JavaScript-motorbristerna i mars och april, hade Google redan i februari korrigerat en noll-dagars användning efter-fri-fel i Chromes Animation-komponent spårad som CVE-2022-0609 den där var under aktiv attack.