Благодаря достижениям участников хакерской конференции CanSecWest 2014, компании Google пришлось выпустить внеплановое обновление безопасности, устраняющее уязвимости, продемонстрированные на этом мероприятие. Обновление затрагивает платформу Chrome OS, а также веб-браузер Chrome для всех платформ, включая ОС Android. Устраняемые уязвимости могут быть использованы для проведения многоуровневых хакерских атак с целью получения полного контроля над уязвимой системой. Одна из основных уязвимостей CVE-2014-1705 была обнаружена в библиотеке V8, другая - в модуле управления графическим процессором (CVE-2014-1710 в комплекте с CVE-2014-1711). Они обе вызывают повреждение памяти, которое затем используется для внедрения произвольного программного кода, в том числе через другие вспомогательные уязвимости. Для веб-браузера это - CVE-2014-1715 и, а для Chrome OS - CVE-2014-1706 (с использованием команд оболочки Crosh), CVE-2014-1707, CVE-2014-1708. Большинство из вспомогательных уязвимостей основывается на некорректной работе с файловыми расположениями различных компонентов. Еще одна атака на веб-браузер Chrome основывалась на ошибках функций библиотеки Blink, которые не обеспечивали контроль памяти после окончания использования объектов (CVE-2014-1713). В составе с уязвимостью буфера обмена (CVE-2014-1714) эта атака также позволила удаленно выполнить произвольный программный код. Несмотря на то, что прошлое обновление было представлено всего несколько дней назад, разработчики рекомендуют как можно скорее произвести установку новых версий ПО. Обновления доступны через систему автоматического обновления приложений и на веб-сайте Google.
Источник