Blog IT, Blog Marketing

Zaktualizuj Chrome

Zaktualizuj Chrome

Marcin Sarna , 05.10.2021 r.

Trzeba szybko uodpornić Twoją przeglądarkę na dwie istotne podatności więc kliknij ten zielony przycisk w prawym górnym rogu gdy tylko skończysz czytać ten wpis.

Aktualizacja dostępna tuż tuż

Google udostępniło właśnie Chrome w wersji 94.0.4606.71 dla systemów Windows, Mac i Linux, aby naprawić dwie luki zero-day, które zostały już skutecznie wykorzystane przez atakujących.

Google jest świadome, że exploity dla CVE-2021-37975 i CVE-2021-37976 istnieją w środowisku naturalnym.

Google rozpoczął aktualizację Chrome 94.0.4606.71 dla użytkowników na całym świecie w kanale Stable Desktop i przeglądarka w tej wersji powinna być dostępna dla wszystkich użytkowników w ciągu najbliższych dni. Aby natychmiast zainstalować aktualizację, użytkownicy Google Chrome mogą przejść do menu Chrome > Pomoc > O Google Chrome a przeglądarka rozpocznie przeprowadzanie aktualizacji. Google Chrome sprawdzi również dostępność aktualizacji i zainstaluje je bez pytania przy następnym uruchomieniu przeglądarki.

Szczegóły ataków zero-day nie zostały ujawnione

Najnowsze wydanie Chrome’a zawiera poprawki dla w sumie czterech luk w zabezpieczeniach, ale dwie luki zero-day są szczególnie niepokojące, ponieważ wiadomo, że zostały już wykorzystane przez hakerów.

Pierwsza z nich, oznaczona jako CVE-2021-37976, opisana jest jako wyciek informacji w rdzeniu i przypisano jej średni poziom istotności. Luka ta została odkryta przez Clémenta Lecigne'a z Google TAG, z techniczną pomocą Sergeia Glazunova i Marka Branda z Google Project Zero, 21 września 2021 roku. Drugi zero-day, oznaczony jako CVE-2021-37975, to błąd wysokiego ryzyka w silniku Chrome V8 JavaScript. Badacz ujawnił tę lukę 24 września i pragnął zachować anonimowość. Jest to jeden z tzw. błędów use after free, które są powszechnie wykorzystywane do zdalnego wykonywania kodu lub ucieczki z sandboksa przeglądarki.

use after free polega zdaniem specjalistów na wykorzystaniu uprzednio zwolnionej pamięci, co może mieć wiele negatywnych konsekwencji: od uszkodzenia ważnych danych do wykonania dowolnego kodu (w zależności od momentu powstania i czasu wystąpienia błędu). Najprostszym sposobem, w jaki może dojść do uszkodzenia danych, jest ponowne wykorzystanie przez system zwolnionej pamięci.

W tej chwili nie ma żadnych innych szczegółów dotyczących tego, w jaki sposób te luki zero-day zostały wykorzystane w atakach, ale mogą one zostać ujawnione w przyszłych raportach Google TAG lub Project Zero. Użytkownicy Chrome powinni przeprowadzić ręczną aktualizację lub zrestartować przeglądarkę, aby zainstalować najnowszą wersję i zapobiec próbom wykorzystania błędu.

Miej oczy i uszy szeroko otwarte

IT Business Analyst/Architect 18000 - 20000 PLN

Warszawa
Aplikuj

Senior Software Engineer PHP (BillPro) Contractor 18000 - 21000 PLN

Praca zdalna
Aplikuj

Senior PHP Developer (Symfony)

Praca zdalna
Aplikuj

Manager Sprzedaży 9000 - 12000 PLN

Warszawa
Aplikuj

Account Manager (Recruitment Services) 5000 - 8000 PLN

Warszawa
Aplikuj

To już trzynasty zero-day załatany w tym roku

Wliczając te dwie najnowsze poprawki, Google załatało już 13 luk zero-day w przeglądarce Chrome od początku 2021 roku. Pozostałe błędy zero-day w Chrome, które Google załatało w tym roku to:

  • CVE-2021-21148 - 4 lutego 2021 r.
  • CVE-2021-21166 - 2 marca 2021 r.
  • CVE-2021-21193 - 12 marca 2021 r.
  • CVE-2021-21220 - 13 kwietnia 2021 r.
  • CVE-2021-21224 - 20 kwietnia 2021 r.
  • CVE-2021-30551 - 9 czerwca 2021 r.
  • CVE-2021-30554 - 17 czerwca, 2021 r.
  • CVE-2021-30563 - 15 lipca 2021 r.
  • CVE-2021-30632 i CVE-2021-30633 - 13 września
  • CVE-2021-37973 - 24 września 2021 r.

W przypadku zero-day’ów szczególnie ważne jest aby instalować nowe aktualizacje przeglądarki tak szybko, jak tylko stają się dostępne.

Najnowsze oferty pracy:

Junior Rekruter - główne technologie

Junior Rekruter

Umowa zlecenie
Solution Engineer - Data Center Technologies - główne technologie

Solution Engineer - Data Center Technologies

Umowa o pracę
Integration & Test Engineer - główne technologie

Integration & Test Engineer

Umowa o pracę
IT Network Engineer - główne technologie

IT Network Engineer

Umowa o pracę
Solution Architect (secure communication and IoT solutions) - główne technologie

Solution Architect (secure communication and IoT solutions)

Umowa o pracę

Polecane wpisy na blogu IT:

Jak odróżnić człowieka od wytworu AI?

Jak odróżnić człowieka od wytworu AI?

Czym się różni framework od biblioteki?

Czym się różni framework od biblioteki?

Co to jest prawo Moore'a?

Co to jest prawo Moore'a?

Czy trzęsienie ziemi na Tajwanie może spowodować trzęsienie ziemi w branży AI?

Czy trzęsienie ziemi na Tajwanie może spowodować trzęsienie ziemi w branży AI?

Młodzi roszczeniowi czy urodzeni zwycięzcy - mity na temat Millenialsów

Młodzi roszczeniowi czy urodzeni zwycięzcy - mity na temat Millenialsów

Smartwatch X4 podgląda dzieci?

Smartwatch X4 podgląda dzieci?

Szukasz pracownika IT?

Dostarczymy Ci najlepszych specjalistów z branży IT. Wyślij zapytanie

Wyrażam zgodę TeamQuest Sp. z o.o. na przetwarzanie moich danych osobowych w celu marketingu produktów i usług własnych TeamQuest, w tym na kontaktowanie się ze mną w formie połączenia telefonicznego lub środkami elektronicznymi.
Administratorem podanych przez Ciebie danych osobowych jest TeamQuest Sp. z o.o., z siedzibą w Warszawie (00-814), ul. Miedziana 3a/21, zwana dalej „Administratorem".
Jeśli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych, skontaktuj się z naszym Inspektorem Ochrony Danych (IOD). Do Twojej dyspozycji jest pod adresem e-mail: office@teamquest.pl.
W jakim celu i na jakiej podstawie będziemy wykorzystywać Twoje dane? Dowiedz się więcej

W czym programujesz?

Popularne stanowiska

Praca w miastach