Začátkem měsíce obdržel Google od Avastu hlášení o tom, že jeho prohlížeč obsahuje díru, která je naneštěstí již aktivně zneužívána. Hrozba známá pod označením CVE‑2022‑2294 je Googlem označena jako kritická a výrobce během několika dní přispěchal s opravou. Obsahují ji Chrome 102.0.5005.148 a 103.0.5060.114.
Internetový gigant mnoho detailů nezveřejnil, jen je zřejmé, že problém se týkal WebRTC, tedy platformy umožňující v prohlížečích audiovizuální komunikaci v reálném čase. To je běžná strategie, aby se kvůli uvolněným informacím situace nezhoršila, než oprava doputuje k většině instalací softwaru.
Víme ale, že zneužíváno bylo přetečení na haldě. Jak upozorňují Malwarebytes Labs, letos je už o čtvrtou aktivně zneužívanou díru, kterou musel Google v Chromu opravit. Chrome ovšem platí za zdaleka nejpoužívanější prohlížeč, takže je na očích a ochranu atraktivního cíle se pokouší prolomit kdekdo.
Podobná chyba by útočícímu subjektu mohla poskytnout prostor pro spuštění škodlivého kódu, případně pro denial-of-service, popisují The Hacker News. Stejné zneužitelné místo s největší obsahují také další prohlížeče postavené na Chromiu. Microsoft díru opravil v Edgi 103.0.1264.48, záplatu obsahují také Opera 88.0.4412.74 nebo Vivaldi 5.3.
Zdroje: blog Chrome Releases (1, 2) | The Hacker News | Changelog for 88 / Opera Desktop | Malwarebytes Labs | Microsoft Edge release notes for Stable Channel / Microsoft Docs | Vivaldi Blog
