Уязвимость с высоким уровнем опасности CVE-2022-4262 связана с путаницей типов в движке JavaScript V8. О проблеме сообщил исследователь группы анализа угроз Google (TAG) Клемент Лесинь 29 ноября.

Уязвимость путаницы типов возникает, когда приложение Java не проверяет тип элемента данных, который ему передается. Например, программа получает число, а самом деле получает строку. Если приложение не проверяет тип полученных данных, оно может неправильно обработать элемент данных, потенциально дестабилизируя его код.

Эта ошибка может предоставить киберпреступнику доступ к памяти за пределами допустимого диапазона или привести к сбою и выполнению произвольного кода. По данным NIST, уязвимость позволяет «удаленному злоумышленнику потенциально использовать повреждение кучи через созданную HTML-страницу».

Google признал активное использование уязвимости, но не стал делиться дополнительной информацией, чтобы предотвратить дальнейшее злоупотребление.

Пользователям рекомендуется выполнить обновление до версии 108.0.5359.94 для macOS и Linux и 108.0.5359.94/.95 для Windows, чтобы смягчить потенциальные угрозы. Пользователям браузеров на основе Chromium – Microsoft Edge, Brave, Opera и т.д., также рекомендуется применить исправления по мере их появления.

Источник: https://www.securitylab.ru