У Chrome знайшли критичні уразливості
Компанія Google вже випустила оновлення браузера і закликає всіх користувачів якомога швидше встановити нову версію.
У браузері Chrome знайшли відразу три уразливості, кожна з яких могла бути використана зловмисниками для атак на користувачів. У Google вже випустили патч і закликали всіх терміново оновитися. розповідає подробиці.
Уразливість нульового дня
Компанія Google випустила невелике, але важливе оновлення для фірмового браузера. Стабільна версія Chrome Chrome 88.0.4324.150 доступна для Windows, macOS і Linux. Chrome є одним з найбільш часто оновлюваних сервісів Google. Кожні два місяці пошуковий гігант випускає чергову версію фірмового браузера, яка містить ряд нових функцій, допоміжних інструментів і захисних функцій. Час від часу Google доводиться випускати екстрені апдейти. Зараз саме той випадок. Оновлення Chrome закриває критичну уразливість нульового дня CVE-2021-21148, яку активно використовують кіберзлодії. Уразливі версії браузерів під всі основні операційні системи для персональних комп’ютерів: Windows, MacOS і Linux. На сьогодні відомо, що це вразливість, за допомогою якої можна провести атаку переповнення динамічної пам’яті (Heap Overflow) з використанням движка Javascript Chrome V8. І хоча зазвичай такі помилки призводять лише до збоїв, в даному випадку зловмисники можуть зловживати багом для виконання довільного коду на комп’ютері жертви. Хакерам досить створити спеціальну веб-сторінку і заманити на неї жертву. В результаті, вони можуть захопити контроль над вразливою системою. Google стало відомо про цю уразливість 24 січня від дослідника Маттіаса Буеленса. Видання ZDnet вважає, що вразливість може бути пов’язана з недавніми атаками хакерів з Північної Кореї на експертів з кібербезпеки. Деякі з північнокорейських атак полягали в тому, щоб заманити дослідників безпеки в блог, де через уразливість нульового дня в браузері на їх системах запускалося шкідливе ПЗ. Згідно зі звітом Microsoft, кіберзлочинці, найімовірніше, експлуатували zero-day в Chrome. Google не уточнила, чи використовувалася в атаках саме CVE-2021-21148, але багато експертів вважають, що це саме так. Витікають дані. Чому мільйони видаляють WhatsApp Google вирішила не розкривати всіх подробиць про уразливість, оскільки до моменту установки оновлення з виправленням користувачі браузера залишаються вразливими. Крім CVE-2021-21148, нове оновлення усуває безліч інших небезпечних уразливостей в Chrome, більшість з яких дозволило б віддаленому зловмисникові зламати систему. Щоб оновити Chrome, потрібно:
- 1. Натиснути кнопку з трьома крапками у верхньому правому куті браузера і перейдіть в Налаштування -> Про браузер Chrome. Після цього браузер має оновитися автоматично.
- 2. Відразу перезапустити браузер, щоб оновлення набрало чинності.
- 3. Якщо в Настройки -> Про браузер Chrome ви бачите номер версії Google Chrome 88.0.4324.150, значить браузер вже оновився і уразливості більше немає.
Дослідник інформаційних систем з Хорватії Боян Здрня також повідомляє про можливість розкрадання персональних даних з різних пристроїв користувача за допомогою функції Chrome Sync. Він виявив, що шкідливе розширення для Chrome використовує функцію синхронізації, щоб комунікувати з віддаленим сервером зловмисників. Хакери також можуть вкрасти дані власника комп’ютера. “Щоб завантажити, прочитати або видалити ці ключі, зловмисникові потрібно було лише увійти в систему з тим же обліковим записом в Google, але в іншому браузері Chrome (це міг бути одноразовий обліковий запис). Після цього він міг взаємодіяти з браузером Chrome в мережі жертви, зловживаючи інфраструктурою Google”, – написав Здрня на форумі Internet Storm Center. Портал Ars Technica також повідомляє про проблеми популярного розширення Great Suspender, яке налічує два мільйони установок у Chrome Web Store. Цей плагін дозволяє тимчасово вимикати невикористовувані вкладки, щоб прискорити роботу браузера, а тому був незамінний для користувачів пристроїв з маленьким запасом оперативної пам’яті. У розширення проникло шкідливе програмне забезпечення, говориться в повідомленні Google. При цьому компанія відмовилася пояснювати, що саме сталося з Great Suspender, але тепер його не знайти ні в офіційному магазині плагінів, ні на комп’ютерах користувачів, які раніше його звідти завантажили. За даними Ars Technica, що посилається на тред у GitHub, в червні минулого року розширення було продано новому власнику, після чого почало демонструвати ознаки шкідливого програмного забезпечення. Зокрема, повідомлялося про шкідливий код, який встановлював стеження за діяльністю користувача онлайн, в тому числі, і за його пошуковими запитами.