Проблема связана с JavaScript-движком V8 с открытым исходным кодом. Разработчики движка выпустили исправление еще в прошлом месяце, однако пользователи Chrome получат обновленную версию только сегодня, 10 сентября, с выходом Chrome 77. Подобные промежутки между выпуском патчей для компонентов с открытым исходным кодом и для ПО, где они используются, получили название «patch gap».

Такие «patch gap» представляют большую угрозу безопасности, поскольку дают злоумышленникам достаточно времени на подготовку эксплоита. По мнению Куручая, у киберпреступников было несколько недель на то, чтобы внимательно изучить журнал изменений V8, проанализировать патчи безопасности и разработать эксплоит, который можно применять в атаках на Chrome. Хотя создание эксплоитов для Chrome – задача не из самых легких, злоумышленник, обладающий хорошими навыками работы с JavaScript, вполне может с ней справиться.

Для того чтобы это доказать, Куручай опубликовал на GitHub PoC-эксплоит для уязвимости в V8, позволяющий запускать в браузере вредоносный код. Правда, для успешной атаки одного эксплоита недостаточно. Нужно также проэксплуатировать уязвимость обхода песочницы, но это не является проблемой, уверен исследователь. Злоумышленник может воспользоваться уже известной уязвимостью обхода песочницы в более старых версиях Chrome и атаковать пользователей, не обновляющих свой браузер.

Натискаючи на «надіслати до», буде відображено список усіх пристроїв, на яких встановлено брузер Chrome і зроблений вхід з власного облікового запису. Там буде інформація про ім’я, тип пристрою та останню активну дату використання. Після надсилання, на тому пристрої, куди було відправлене посилання, з’явиться сповіщення з URL-адресою. В Chrome також додано нову сторінку відображення «завантаженого». Вам буде доступний фільтр за типом файлу: усе, сторінки, відео, аудіо, фотографії, документи та інше.