Интернет-гигант Google, считающийся чуть ли не монополистом в Глобальной сети, собирается окончательно уничтожить протокол HTTP. В одной из следующих версий его браузера Chrome будет полностью запрещена автоматическая загрузка сайтов, еще не перешедших на более безопасный протокол HTTPS, пишет TechRadar.
Согласно статистике портала FirstSiteGuide, на март 2022 г. интернет состоял из 1,93 млрд сайтов со всего света, как ультрасовременных, так и «допотопных» – не обновляющихся годами. На HTTPS перешли примерно 95% из них, то есть устаревшим протоколом все еще пользуются около 96,5 млн веб-ресурсов.
Google выпускает срочные исправления для первого в наступившем 2024 году 0-day в Chrome, которая активно эксплуатировалась с начала года.
Уязвимость высокой степени серьезности отслеживается как CVE-2024-0519 () и связана с проблемой доступа к памяти за пределами границ в движке JavaScript V8 в Google Chrome до версии 120.0.6099.224, позволяя злоумышленникам получать доступ к конфиденциальной информации или вызывать сбои.
Помимо несанкционированного доступа к внешней памяти, CVE-2024-0519 также можно использовать для обхода механизмов защиты, таких как ASLR, чтобы облегчить выполнение кода с помощью еще одной уязвимости.
Как обычно, Google не предоставила никаких дополнительных подробностей о масштабах наблюдаемых атак и не делится признаками компрометации.
Известно лишь то, что о проблеме сообщили анонимно 11 января 2024 года.
Google также исправила также и другие серьезные уязвимости, включая проблемы записи за пределами V8 (CVE-2024-0517) и путаницы типов (CVE-2024-0518), позволяющие выполнять произвольный код на взломанных устройствах.
Пользователям рекомендуется обновить Chrome до версии 120.0.6099.224/225 для Windows, 120.0.6099.234 для macOS и 120.0.6099.224 для Linux, чтобы снизить потенциальные угрозы.
Пользователям браузеров на базе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi, также рекомендуется применять исправления по мере их появления.
Microsoft рекомендуют обновить Chrome — там нашли опасную уязвимость.
Исследователи по безопасности обнаружили () проблему
«путаницы типов» (type confusion), вызванную ошибкой в движке JavaScript от Google. Через нее могут проводиться атаки.
Google уже выпустили патч, так что обезопасить себя можно простым обновлением.