Хакер из России помог устранить опасный баг в браузере Chrome при поддержке «Яндекса».

Российский гигант обнаружил критическую проблему в Chromium

Эксперт по кибербезопасности из «Яндекса» выявил уязвимость высокой степени опасности в исходном коде проекта Chromium, который лежит в основе множества популярных браузеров. Ошибка могла быть использована злоумышленниками для выполнения произвольных действий внутри браузера и применяться в составе многоэтапных атак.

Недочёт был найден в JavaScript-движке V8, разработанном Google. Этот модуль используется в Chrome, Яндекс Браузере, Microsoft Edge и других браузерах, созданных на базе Chromium. Поскольку V8 распространяется под открытой лицензией, разработчики по всему миру могут анализировать его код, улучшать и адаптировать под собственные продукты.

В «Яндексе» отмечают, что любой сторонний компонент, включаемый в их сервисы и приложения, обязательно проходит проверку на наличие уязвимостей. Именно в рамках такого аудита сотрудник компании и выявил проблему, после чего предложил исправление разработчикам V8. Google приняла предложенное решение и добавила его в сентябрьский релиз движка.

Уязвимость затрагивала только некоторые версии V8. В Яндекс Браузере использовалась сборка без ошибки, поэтому пользователи не подвергались риску. В дальнейшем все обновления браузера будут выходить уже с исправленной версией компонента.

Компания также подчеркнула, что регулярно выпускает собственные обновления безопасности для Яндекс Браузера независимо от графика выхода новых версий Chromium. Такой подход позволяет своевременно закрывать угрозы и снижать вероятность атак.