Zaktualizuj Chrome

Marcin Sarna, 05.10.2021 r.

Trzeba szybko uodpornić Twoją przeglądarkę na dwie istotne podatności więc kliknij ten zielony przycisk w prawym górnym rogu gdy tylko skończysz czytać ten wpis.

Aktualizacja dostępna tuż tuż

Google udostępniło właśnie Chrome w wersji 94.0.4606.71 dla systemów Windows, Mac i Linux, aby naprawić dwie luki zero-day, które zostały już skutecznie wykorzystane przez atakujących.

Google jest świadome, że exploity dla CVE-2021-37975 i CVE-2021-37976 istnieją w środowisku naturalnym.

Google rozpoczął aktualizację Chrome 94.0.4606.71 dla użytkowników na całym świecie w kanale Stable Desktop i przeglądarka w tej wersji powinna być dostępna dla wszystkich użytkowników w ciągu najbliższych dni. Aby natychmiast zainstalować aktualizację, użytkownicy Google Chrome mogą przejść do menu Chrome > Pomoc > O Google Chrome a przeglądarka rozpocznie przeprowadzanie aktualizacji. Google Chrome sprawdzi również dostępność aktualizacji i zainstaluje je bez pytania przy następnym uruchomieniu przeglądarki.

Szczegóły ataków zero-day nie zostały ujawnione

Najnowsze wydanie Chrome’a zawiera poprawki dla w sumie czterech luk w zabezpieczeniach, ale dwie luki zero-day są szczególnie niepokojące, ponieważ wiadomo, że zostały już wykorzystane przez hakerów.

Pierwsza z nich, oznaczona jako CVE-2021-37976, opisana jest jako wyciek informacji w rdzeniu i przypisano jej średni poziom istotności. Luka ta została odkryta przez Clémenta Lecigne'a z Google TAG, z techniczną pomocą Sergeia Glazunova i Marka Branda z Google Project Zero, 21 września 2021 roku. Drugi zero-day, oznaczony jako CVE-2021-37975, to błąd wysokiego ryzyka w silniku Chrome V8 JavaScript. Badacz ujawnił tę lukę 24 września i pragnął zachować anonimowość. Jest to jeden z tzw. błędów use after free, które są powszechnie wykorzystywane do zdalnego wykonywania kodu lub ucieczki z sandboksa przeglądarki.

use after free polega zdaniem specjalistów na wykorzystaniu uprzednio zwolnionej pamięci, co może mieć wiele negatywnych konsekwencji: od uszkodzenia ważnych danych do wykonania dowolnego kodu (w zależności od momentu powstania i czasu wystąpienia błędu). Najprostszym sposobem, w jaki może dojść do uszkodzenia danych, jest ponowne wykorzystanie przez system zwolnionej pamięci.

W tej chwili nie ma żadnych innych szczegółów dotyczących tego, w jaki sposób te luki zero-day zostały wykorzystane w atakach, ale mogą one zostać ujawnione w przyszłych raportach Google TAG lub Project Zero. Użytkownicy Chrome powinni przeprowadzić ręczną aktualizację lub zrestartować przeglądarkę, aby zainstalować najnowszą wersję i zapobiec próbom wykorzystania błędu.

Account Manager - Usługi rekrutacyjne Formy umowy: Umowa zlecenie B2B / Kontrakt

Warszawa

Aplikuj

To już trzynasty zero-day załatany w tym roku

Wliczając te dwie najnowsze poprawki, Google załatało już 13 luk zero-day w przeglądarce Chrome od początku 2021 roku. Pozostałe błędy zero-day w Chrome, które Google załatało w tym roku to: