Эксперты выявили брешь в системе патчинга Google Chrome

В процессе патчинга браузера Google Chrome найдена очередная лазейка, которую злоумышленники могут использовать для атак — у киберпреступников есть несколько дней до того, как обновление придёт пользователям.

Такая проблема называется «Patch gapping», что можно вольно перевести как «брешь патчинга». Подразумевается, что обновления безопасности приходят пользователям недостаточно быстро. В результате хакеры могут использовать этот короткий период для атак, в которых будут использоваться уязвимости.

То есть эта самая «брешь» представляет собой промежуток времени между устранением уязвимости и доставкой патча конечному пользователю.

Именно такую проблему эксперты компании Exodus Intelligence заметили в процессе обновления браузера Google Chrome в прошлом месяце.

Согласно отчёту специалистов, брешь касалась V8, компонента с открытым исходным кодом. V8 используется в качестве движка JavaScript в Chrome.

Задействуя уязвимость в этом компоненте, атакующий мог выполнить вредоносный код внутри браузера пользователя. «Брешь патчинга» возникла по той причине, что баг в V8 был устранён в августе, а пользователи Chrome получат обновления только сегодня, 10 сентября (с релизом Chrome 77).

Как вы понимаете, в этот период злоумышленники вполне могли осуществлять атаки с помощью этой уязвимости. PoC-код для проблемы безопасности в настоящее время доступен на GitHub.