Użytkownicy Google Chrome zaatakowani – oto, co należy zrobić
Trwa atak na najpopularniejszą przeglądarkę internetową na świecie, Chrome, z którego korzysta około 3,2 mld ludzi na całym świecie . Google ogłosiło, że powinni oni jak najszybciej zaktualizować program.
Krytyczne podatności 0-day w Chrome
W Google Chrome odnaleziono szereg niebezpiecznych podatności typu zero-day. Dostępne są już informacje o tym, że są one aktywnie wykorzystywane przez napastników , dlatego każde opóźnienie w aktualizacji naraża nasze cyberbezpieczeństwo na szwank. Łącznie najnowsze wersje Chrome’a łatają aż siedem podatności znanych już hakerom.
Chrome można zaktualizować poprzez przejście w ustawieniach do kategorii „Chrome – informacje” . Już ten proces wymusi sprawdzenie dostępności nowych wersji, a po ponownym uruchomieniu będziemy się mogli cieszyć zabezpieczonym wydaniem. W przypadku mobilnych odsłon Chrome’a najlepiej sprawdzić dostępność aktualizacji w Google Play lub App Store.
Specyfika podatności
Jak donosi The Hacker News, szczególnie groźna jest krytyczna (9.6/10 w CVSS) luka oznaczona jako CVE-2023-2136. Dzięki użyciu odpowiednio spreparowanego pliku HTML można tak zmanipulować proces renderowania witryny przez silnik Skia, że napastnik może opuścić tzw. piaskownicę, czyli izolację procesu od środowiska systemu operacyjnego , która ma chronić użytkowników.
Nieco niższa klasyfikację uzyskało pozostałe sześć podatności, choć ich również nie należy bagatelizować – podobnie jak 2136 są doniesienia o ich aktywnym wykorzystywaniu przez hakerów . Dwie z luk wykorzystują podatności typowania w kodzie silnika V8, inne m.in. przepełnienie bufora podczas obsługi formatu WEBP.
Weryfikacja bezpieczeństwa
Skąd wiadomo, czy zainstalowana wersja Chrome’a jest odporna na ataki? Zweryfikować bezpieczeństwo można po numerze wersji – załatany Chrome na Windowsie został oznaczony jako 119.0.6045.199/.200 na Windowsie oraz 119.0.6045.199 na Makach i Linuksie .
Źródło: The Hacker News
