У Chrome виявили небезпечні вразливості. Як усунути

У Chrome виявили небезпечні вразливості. Як усунути.

Компанія Google уже випустила оновлення браузера і закликає всіх користувачів якнайшвидше встановити нову версію.

У браузері Chrome знайшли одразу три вразливості, кожна з яких могла бути використана зловмисниками для атак на користувачів. У Google вже випустили патч і закликали всіх терміново оновитись.

Вразливість нульового дня

Компанія Google випустила невелике, але важливе оновлення для фірмового браузера. Стабільна версія Chrome 88.0.4324.150 доступна для Windows, macOS і Linux.

Chrome є одним із найчастіше оновлюваних сервісів Google. Кожні два місяці пошуковий гігант випускає чергову версію фірмового браузера, яка містить ряд нових функцій, допоміжних інструментів і захисних можливостей.

Час від часу Google доводиться випускати екстрені апдейти. Зараз як раз той випадок.

Оновлення Chrome закриває критичну вразливість нульового дня CVE-2021-21148, яку активно використовують кібершахраї. Уразливі версії браузерів під усіма основними операційними системами для персональних комп’ютерів: Windows, MacOS і Linux.

На сьогодні відомо, що це вразливість, за допомогою якої можна провести атаку переповнення динамічної пам’яті (Heap Overflow) з використанням рушія Javascript Chrome V8.

І хоча зазвичай такі помилки призводять лише до збоїв, у цьому випадку зловмисники можуть зловживати багом для виконання довільного коду на комп’ютері жертви.

Хакерам достатньо створити спеціальну веб-сторінку й заманити на неї жертву. В результаті вони можуть захопити контроль над вразливою системою.

Google стало відомо про цю вразливість 24 січня від дослідника Маттіаса Буеленса. Видання ZDnet вважає, що вразливість може бути пов’язана з недавніми атаками хакерів з Північної Кореї на експертів з кібербезпеки.

Деякі з північнокорейських атак полягали в тому, щоб заманити дослідників безпеки в блог, де через вразливість нульового дня в браузері на їхніх системах запускалося шкідливе ПЗ.

Згідно з доповіддю Microsoft, кіберзлочинці, швидше за все, експлуатували вразливість нульового дня в Chrome. Google не уточнила, використовувалась чи в атаках саме CVE-2021-21148, але багато експертів вважають, що це саме так.

Google віддала перевагу не розкривати всіх подробиць про вразливість, оскільки до моменту встановлення оновлення з виправленням користувачі браузера залишаються вразливими.

Окрім CVE-2021-21148, нове оновлення усуває безліч інших небезпечних вразливостей у Chrome, більшість з яких дозволило б віддаленому зловмиснику зламати систему.

Щоб оновити Chrome потрібно:

1. Натиснути кнопку з трьома крапками у верхньому правому куті браузера і перейти в Налаштування -> Про браузер Chrome. Після цього браузер має оновитися автоматично.
2. Негайно перезапустити браузер, щоб оновлення набуло чинності.
3. Якщо в Налаштування -> Про браузер Chrome ви бачите номер версії Google Chrome 88.0.4324.150, значить браузер уже оновився і вразливості більше немає.

Дослідник інформаційних систем з Хорватії Боян Здрня також повідомляє про можливість крадіжки персональних даних з різних пристроїв користувача за допомогою функції Chrome Sync.

Він виявив, що шкідливе розширення для Chrome використовує функцію синхронізації, щоб комунікувати з віддаленим сервером зловмисників. Хакери також можуть вкрасти дані власника комп’ютера.

“Щоб скачати, прочитати або видалити ці ключі, зловмиснику було потрібно лише увійти в систему з тим же обліковим записом у Google, але в іншому браузері Chrome (це могла бути одноразова облікова запись). Після цього він міг взаємодіяти з браузером Chrome в мережі жертви, зловживаючи інфраструктурою Google”, – написав Здрня на форумі Internet Storm Center.

Портал Ars Technica також повідомляє про проблеми популярного розширення Great Suspender, яке нараховує два мільйони встановлень у Chrome Web Store.

Цей плагін дозволяє тимчасово вимикати невикористовувані вкладки, щоб пришвидшити роботу браузера, а тому був незамінним для користувачів пристроїв із невеликим запасом оперативної пам’яті.

У розширення проникло шкідливе програмне забезпечення, йдеться в повідомленні Google.

При цьому компанія відмовилась пояснювати, що саме сталося з Great Suspender, але тепер його не знайти ні в офіційному магазині плагінів, ні на комп’ютерах користувачів, які раніше його звідти завантажили.

За даними Ars Technica, що посилається на тред у GitHub, у червні минулого року розширення було продане новому власникові, після чого почало демонструвати ознаки шкідливого програмного забезпечення.

Зокрема, повідомлялося про шкідливий код, який встановлював стеження за діяльністю користувача онлайн, зокрема й за його пошуковими запитами.