Инженер Яндекса устранил серьёзную уязвимость в браузерах на Chromium

Инженер по информационной безопасности Яндекса обнаружил и помог устранить уязвимость высокого уровня опасности в коде проекта Chromium, на базе которого создаются многие современные браузеры. Уязвимость могла позволить злоумышленникам выполнять действия в браузере, которые сделали бы его потенциальной составляющей в сложных цепочках атак.

Уязвимость была обнаружена в движке V8, разрабатываемом Google. Он используется в Google Chrome, Яндекс Браузере, Microsoft Edge и других браузерах, созданных на основе Chromium. Движок распространяется под свободной лицензией — это позволяет разработчикам со всего мира изучать код, дорабатывать его и использовать в своих проектах.

В тех случаях, когда в продуктах и сервисах Яндекса используется код сторонних разработчиков, этот код и его обновления обязательно проверяются на предмет возможных уязвимостей. Такой подход позволяет делать разработки Яндекса безопасными.

В ходе такой проверки специалист Яндекса обнаружил уязвимость и предложил разработчикам V8 вариант её исправления. Google использовала этот вариант в исправлении, которое в сентябре вошло в актуальную версию V8.

Только определённые версии движка V8 содержали уязвимость. В Яндекс Браузере использовалась версия без ошибки, поэтому его пользователей уязвимость не коснулась. Все обновления Браузера будут включать уже исправленную версию.

Яндекс регулярно выпускает обновления безопасности Браузера вне зависимости от выхода обновлений основных компонентов проекта Chromium. Это позволяет компании оперативно реагировать на возможные угрозы и устранять их. Автоматические обновления Яндекс Браузера помогают пользователям своевременно получать улучшения безопасности.