Cei 2,6 miliarde de utilizatori ai Chrome trebuie să fie din nou în alertă, pentru a doua oară în decurs de o săptămână, deoarece Google a confirmat mai multe hack-uri noi de nivel înalt ale browserului, scrie Forbes.
Google a publicat zilele trecute o nouă postare pe blog în care dezvăluie că au fost confirmate patru vulnerabilități de nivel înalt, la câteva zile după ce a emis alte avertismente. Utilizatorii trebuie să ia măsuri imediate.
Așa cum este practica standard, Google restricționează în prezent informațiile despre aceste atacuri pentru a câștiga timp pentru ca utilizatorii Chrome să-și facă upgradela browser. Prin urmare, doar următoarele informații sunt cunoscute:
High – CVE-2021-37977 : Utilizarea după liber în Garbage Collection. Raportat de Anonymous la 2021-09-24
High – CVE-2021-37978 : Heap buffer overflow în Blink. Raportat de Yangkang (@dnpushme) de la 360 ATA pe 2021-08-04
Mare – CVE-2021-3797979 : Depășire de buffer Heap în WebRTC. Raportat de Marcin Towalski de la Cisco Talos la 2021-09-07
High – CVE-2021-37980 : Implementare necorespunzătoare în Sandbox. Raportat de Yonghwi Jin (@jinmo123) la data de 2021-09-30
Deși aceste informații nu spun multe lucruri, relevă totuși că browserul Chrome continuă să fie ținta unor exploatări „Use-After-Free” (UAF). Browserul a fost afectat de atacuri UAF în septembrie, iar hackerii au exploatat deja un defect UAF în această lună.
Listarea unei perechi de exploatări Heap buffer overflow este mai puțin așteptată. Ca și atacurile UAF, aceasta este o vulnerabilitate de memorie (cunoscută și sub numele de Heap Smashing), dar nu a fost o cale obișnuită pentru hackerii Chrome în ultimele luni. Memoria de pe heap este alocată dinamic și conține de obicei date de program. Cu o depășire, structurile de date critice pot fi suprascrise, ceea ce o face o țintă ideală pentru atacuri.
Ca răspuns, Google a lansat o actualizare critică. Compania îi avertizează pe utilizatorii Chrome că lansarea va fi eșalonată, astfel încât nu toată lumea va putea să se protejeze imediat. Pentru a verifica dacă sunteți protejat, navigați la Settings > Help > About Google Chrome (Setări > Ajutor > Despre Google Chrome).
Dacă versiunea Chrome este 94.0.4606.81 sau mai mare, sunteți în siguranță. Dacă actualizarea nu este încă disponibilă pentru browserul dvs., asigurați-vă că verificați în mod regulat pentru noua versiune.
Iar după ce ați făcut actualizarea, nu uitați de ultimul pas crucial: Chrome nu este în siguranță până când nu este repornit. Ceea ce face ca acesta să fie un proces cu două sensuri. Google poate accelera remedierile pentru hackerii Chrome, dar dacă utilizatorii nu-și repornesc browserul după actualizare, nu vor fi protejați. Acest fals sentiment de securitate este un lucru pe care hackerii contează. (sursa)