Обновление Chrome 104.0.5112.101 с устранением критической уязвимости

Компания Google сформировала обновление Chrome 104.0.5112.101, в котором исправлено 10 уязвимостей, в том числе критическая уязвимость (CVE-2022–2852), позволяющая обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. Детали пока не раскрываются, известно лишь, что критическая уязвимость связана с обращением к уже освобождённой памяти (use-after-free) в реализации API FedCM (Federated Credential Management), позволяющем создавать объединённые сервисы идентификации, обеспечивающие сохранение конфиденциальности и работающие без механизмов межсайтового отслеживания, таких как обработка сторонних Cookie.

Из других исправленных уязвимостей можно отметить проблемы с обращением к уже освобождённой памяти в системе рендеринга Swiftshader, движке Blink, OS Shell, привязке входа в Chrome с входом в сервисы Google и прослойке ANGLE.

Кроме того, в обновлении устранены переполнение буфера в коде для управления загрузками, недоработки в Extensions API и некорректная проверка входных данных в механизме вызова приложений из web-страниц (Intents).



Источник: http://www.opennet.ru/opennews/art.shtml? num=57644

© OpenNet