4 июля нынешнего года корпорация Google исправила уязвимость нулевого дня, получившую идентификатор CVE-2022-2294. Эта уязвимость нулевого дня был выявлена в браузере Chrome и оценена как весьма опасная. Сообщая о ее устранении, представители Google признали, что уязвимость эксплуатировалась в реальных атаках, однако не сообщили никаких подробностей.

Теперь эти подробности стали известны: их раскрыла компания Avast, специалисты которой и обнаружили уязвимость CVE-2022-2294. Она связана с переполнением буфера и затрагивает браузерную технологию передачи потоковых данных WebRTC. В случае успешной ее эксплуатации злоумышленник получает возможность удаленного исполнения произвольного кода на устройства жертвы.

Как рассказали эксперты Avast, уязвимость использовалась израильской компанией Candiru для инфицирования целевых устройств шпионским ПО DevilsTongue. С его помощью осуществлялась слежка за журналистами и общественными деятелями в ряде стран Ближнего Востока, в частности, в Ливане, Йемене, а также в Палестине и Турции. Особую опасность создавало то, что заражение устройств не требовало никаких действий со стороны пользователя: ему достаточно было зайти на скомпрометированный сайт, используя уязвимый браузер Chrome (причем об уязвимости на тот момент еще не было известно). Так, в одном случае атакующим удалось скомпрометировать сайт одного из информационных агентств в Ливане.

Исследователи отмечают, что технология WebRTC используется также штатным браузером Safari корпорации Apple. Однако уязвимость оказалась эффективной только для атак на браузер Chrome и только на Windows-устройствах.