Недавно компания Google представила новый номерной релиз браузера Chrome (107). В нём было устранено 14 уязвимостей. Спустя три дня Google выпускает экстренное исправление для новой эксплуатируемой 0-day уязвимости в браузере.
Уязвимость получила идентификатор CVE-2022-3723, и в ней эксплуатируется уязвимость 0-day, связанная с путаницей типов в движке JavaScript Chromium V8. Эту брешь нашли 25 октября исследователи из компании Avast, а Google успела заявить, что ей известно об её эксплуатации. Однако технические подробности CVE-2022-3723 компания раскроет после обновления браузера большей частью пользователей.
Это уже третья уязвимость в Chrome, связанная с JavaScript Chrome V8. До этого были исправлены CVE-2022-1364 и CVE-2022-1096. Обе были связаны с путаницей типов в движке JavaScript Chrome V8.
Всего за этот год было исправлено 7 уязвимостей 0-day в браузере от Google. Остальные четыре были:
CVE-2022-3075 — некорректная проверка данных в IPC-библиотеке Mojo;
CVE-2022-2856 — недостаточная проверка вводимых данных в Intents;
CVE-2022-2294, связанная с переполнением кучи в компоненте Web Real-Time Communications;
CVE-2022-0609, представляющая уязвимость после освобождения в анимации.
Компания Google раскрыла технические подробности атак и не стала приписывать их какой-то из хакерских группировок.
