В ПК-версии браузера Chrome обнаружили уязвимость нулевого дня CVE-2022-3723. Она позволяет выполнять эксплойт вида Type Confusion в движке V8 Javascript.
Использующая эксплойт программа дважды запрашивает доступ к одному объекту, ресурсу или переменной, но во второй раз использует неправильный базовый тип. Это путает систему и даёт программе доступ к участкам памяти, которые должны быть для неё недоступны. В результате злоумышленники могут получить доступ к конфиденциальным данным, которые хранятся на устройстве, вызвать сбои приложений и даже удалённо запустить код.
Есть и хорошие новости: Google уже подтвердила эту проблему и закрыла уязвимость в версиях браузера 107.0.5304.87/88. Если вы пользуетесь более старой версией, рекомендуется установить обновление и перезапустить приложение как можно скорее.
CVE-2022-3723 стала седьмой уязвимостью нулевого дня, обнаруженной в Chrome в 2022 году. Для сравнения: за 2021 год раскрыли и устранили рекордные 58 уязвимостей.
Google предполагает, что это связано с более тщательными проверками от Google, Apple и Microsoft, которые позволили находить бреши в безопасности чаще, чем раньше. После череды открытий частота их обнаружений снизилась, поэтому 2022 год стал более спокойным с точки зрения обнаруженных уязвимостей..