Компания уже запустила прогрессивное развертывание новой версии Chrome на канале Stable. Может пройти несколько недель, прежде чем обновление достигнет всей пользовательской базы.
Chrome автоматически проверяет наличие обновлений и устанавливает их при следующем запуске.
Пользователи могут ускорить получение обновления, перейдя в меню > Справка > О браузере Google Chrome или открыв внутреннюю страницу chrome://settings/help напрямую. В этом случае откроется информационная страница с номером текущей версии браузера и запустится проверка и последующая установка доступных обновлений.
Вы также можете скачать новую версию браузера с нашего сайта:
Информация об эксплуатации не раскрывается
В бюллетени безопасности Google сообщает:
Google известно о существовании эксплойта для CVE-2022-1096, который используется в реальных атаках.
Исправленная уязвимость с идентификатором CVE-2022-1096 связана с отсутствием проверки типа передаваемого объекта в JavaScript-движке Chrome V8. Проблема безопасности была обнаружена анонимным исследователем.
Подобные ошибки, связанные с типами объектов, обычно приводят к сбоям браузера после успешной эксплуатации путем чтения или записи памяти за пределами буфера. Также злоумышленники могут использовать подобные уязвимости для выполнения произвольного кода.
Хотя Google обнаружил атаки с эксплуатацией CVE-2022-1096, компания не поделилась техническими подробностями или дополнительной информацией об этих инцидентах.
Google заявляет:
Доступ к дополнительным сведениям об ошибках и ссылкам может быть ограничен до тех пор, пока большинство пользователей не получат исправление.
Ограничения будут сохранены, если уязвимость существует в сторонней библиотеке, от которой также зависят еще не исправленные проекты.
У пользователей Google Chrome должно быть достаточно времени, чтобы обновить Chrome и предотвратить попытки эксплуатации, пока компания не опубликует дополнительную информацию.
Вторая уязвимость нулевого дня в этом году
Текущее обновление устраняет вторую угрозу нулевого дня в Chrome с начала 2022 года, а другую с идентификатором CVE-2022-0609 компания исправила в прошлом месяце.
Группа анализа угроз Google (Threat Analysis Group, TAG) сообщила, что хакеры, поддерживаемые правительством Северной Кореей, использовали CVE-2022-0609 за несколько недель до выхода февральского патча. Самый ранний признак активной эксплуатации был обнаружен 4 января 2022 года.
Уязвимость нулевого дня использовалась двумя отдельными группировками, поддерживаемыми правительством КНДР в кампаниях по распространению вредоносного ПО через фишинговые электронные письма с использованием взломанных сайтов, на которых размещались скрытые элементы iframe.
Исследователи пояснили:
Электронные письма содержали ссылки, которые пытались выдать себя за легитимные веб-сайты по поиску работы, такие как Indeed и ZipRecruiter.
В других случаях наблюдались фальшивые сайты, настроенные для распространения троянских криптовалютных приложений, размещающие iframe и указывающие своим посетителям на набор эксплойтов.
Обновления программ, что нового
• Релиз Opera 116: стабильная версия с улучшениями интерфейса и производительности
• Apple выпустила вторые бета-версии iOS 18.3 и iPadOS 18.3
• OnePlus 13 представлен глобально: Snapdragon 8 Elite и аккумулятор 6000 мАч
• Бета-обновление Steam для ПК и Steam Deck: улучшения анимаций запуска, исправления для контролеров
• Обновленный Bixby с генеративным ИИ дебютирует на Galaxy Unpacked 2025
• Nvidia анонсировала DLSS 4 с технологией Multi Frame Generation для RTX 50