Десктопный Chrome опять латают

В минувшую среду, 18 сентября, компания Google выпустила для Chrome экстренное обновление, устраняющее четыре уязвимости. Одна из них оценена как критическая, остальные — как высокой степени опасности. Пользователям браузера рекомендуется незамедлительно обновить его до сборки 77.0.3865.90 на Windows, Mac и Linux.

Согласно анонсу, все уязвимости относятся к классу use-after-free — возможность использования освобожденной памяти. Самая серьезная из них, CVE-2019-13685, была выявлена в интерфейсе пользователя; она позволяет обойти защиту браузера и выполнить сторонний код в системе.

Уязвимость CVE-2019-13686 присутствует в коде, обеспечивающем просмотр страниц в автономном режиме. Еще два бага, CVE-2019-13687 и CVE-2019-13688, объявились в модуле, отвечающем за воспроизведение мультимедийного контента. Обнаруживший их исследователь получил от Google 40 тыс. долларов — по $20 тыс. за каждую находку. В остальных случаях размер вознаграждения будет определен позднее.

Детали новых проблем разработчик пока не разглашает, чтобы пользователи успели установить заплатки до того, как эту информацию обнародуют и злоумышленники возьмут ее на вооружение. В тех случаях, когда баг содержится в сторонней библиотеке, используемой и в других, еще не пропатченных проектах, Google продлит ограничение на публикацию.

Хотя Chrome автоматически уведомляет пользователя о наличии новых версий, эксперты советуют запустить процесс обновления вручную — с последующей перезагрузкой. Чтобы смягчить последствия атак через уязвимости нулевого дня, пользователям также рекомендуется по возможности запускать все программы в системе с минимальными привилегиями.

Последний раз Google латала свой браузер неделю назад — когда выпустила Chrome 77. Тот релиз содержал много изменений и закрыл 52 уязвимости, в том числе восемь очень опасных и одну критическую.

Источник: https://threatpost.ru/new-chrome-update-for-desktop-patches-four-dangerous-vulnerabilities/34170/