У Chrome знайшли критичні уразливості
Компанія Google вже випустила оновлення браузера і закликає всіх користувачів якомога швидше встановити нову версію.
У браузері Chrome знайшли відразу три уразливості, кожна з яких могла бути використана зловмисниками для атак на користувачів. У Google вже випустили патч і закликали всіх терміново оновитися. Корреспондент.net розповідає подробиці.
Уразливість нульового дня
Компанія Google випустила невелике, але важливе оновлення для фірмового браузера. Стабільна версія Chrome
Chrome 88.0.4324.150 доступна для Windows, macOS і Linux.
Chrome є одним з найбільш часто оновлюваних сервісів Google. Кожні два місяці пошуковий гігант випускає чергову версію фірмового браузера, яка містить ряд нових функцій, допоміжних інструментів і захисних функцій.
Час від часу Google доводиться випускати екстрені апдейти. Зараз саме той випадок.
Оновлення Chrome закриває критичну уразливість нульового дня
CVE-2021-21148, яку активно використовують кіберзлодії. Уразливі версії браузерів під всі основні операційні системи для персональних комп'ютерів: Windows, MacOS і Linux.
На сьогодні відомо, що це вразливість, за допомогою якої можна провести атаку переповнення динамічної пам'яті (Heap Overflow) з використанням движка Javascript Chrome V8.
І хоча зазвичай такі помилки призводять лише до збоїв, в даному випадку зловмисники можуть зловживати багом для виконання довільного коду на комп'ютері жертви.
Хакерам досить створити спеціальну веб-сторінку і заманити на неї жертву. В результаті, вони можуть захопити контроль над вразливою системою.
Google стало відомо про цю уразливість 24 січня від дослідника Маттіаса Буеленса. Видання ZDnet вважає, що вразливість може бути пов'язана з недавніми атаками хакерів з Північної Кореї на експертів з кібербезпеки.
Деякі з північнокорейських атак полягали в тому, щоб заманити дослідників безпеки в блог, де через уразливість нульового дня в браузері на їх системах запускалося шкідливе ПЗ.
Згідно зі звітом Microsoft, кіберзлочинці, найімовірніше, експлуатували zero-day в Chrome. Google не уточнила, чи використовувалася в атаках саме CVE-2021-21148, але багато експертів вважають, що це саме так.
Google вирішила не розкривати всіх подробиць про уразливість, оскільки до моменту установки оновлення з виправленням користувачі браузера залишаються вразливими.
Крім CVE-2021-21148, нове оновлення усуває безліч інших небезпечних уразливостей в Chrome, більшість з яких дозволило б віддаленому зловмисникові зламати систему.
Щоб оновити Chrome, потрібно:
-
1. Натиснути кнопку з трьома крапками у верхньому правому куті браузера і перейдіть в Налаштування -> Про браузер Chrome. Після цього браузер має оновитися автоматично.
-
2. Відразу перезапустити браузер, щоб оновлення набрало чинності.
-
3. Якщо в Настройки -> Про браузер Chrome ви бачите номер версії Google Chrome 88.0.4324.150, значить браузер вже оновився і уразливості більше немає.
Дослідник інформаційних систем з Хорватії Боян Здрня також повідомляє про можливість розкрадання персональних даних з різних пристроїв користувача за допомогою функції Chrome Sync.
Він виявив, що шкідливе розширення для Chrome використовує функцію синхронізації, щоб комунікувати з віддаленим сервером зловмисників. Хакери також можуть вкрасти дані власника комп'ютера.
"Щоб завантажити, прочитати або видалити ці ключі, зловмисникові потрібно було лише увійти в систему з тим же обліковим записом в Google, але в іншому браузері Chrome (це міг бути одноразовий обліковий запис). Після цього він міг взаємодіяти з браузером Chrome в мережі жертви, зловживаючи інфраструктурою Google", - написав Здрня на форумі Internet Storm Center.
Портал Ars Technica також повідомляє про проблеми популярного розширення Great Suspender, яке налічує два мільйони установок у Chrome Web Store.
Цей плагін дозволяє тимчасово вимикати невикористовувані вкладки, щоб прискорити роботу браузера, а тому був незамінний для користувачів пристроїв з маленьким запасом оперативної пам'яті.
У розширення проникло шкідливе програмне забезпечення, говориться в повідомленні Google.
При цьому компанія відмовилася пояснювати, що саме сталося з Great Suspender, але тепер його не знайти ні в офіційному магазині плагінів, ні на комп'ютерах користувачів, які раніше його звідти завантажили.
За даними Ars Technica, що посилається на тред у GitHub, в червні минулого року розширення було продано новому власнику, після чого почало демонструвати ознаки шкідливого програмного забезпечення.
Зокрема, повідомлялося про шкідливий код, який встановлював стеження за діяльністю користувача онлайн, в тому числі, і за його пошуковими запитами.