Компания Google выпустила срочное обновление программного обеспечения для улучшения безопасности своего веб-браузера Chrome и настоятельно призывает пользователей Windows, Mac и Linux немедленно обновить приложение до последней доступной версии.
Начатая в эту среду для пользователей по всему миру, версия Chrome 77.0.3865.90 содержит исправления безопасности для 1 критической и 3-х высокорисковых уязвимостей безопасности, наиболее серьезные из которых могут позволить удаленным хакерам взять под контроль поврежденную систему.
Компания Google решила сохранить в секрете все четыре уязвимости в течение еще нескольких дней, чтобы предотвратить их использование хакерами и дать пользователям достаточно времени для установки обновления Chrome.
На данный момент команда безопасности Chrome обнаружила только то, что все четыре уязвимости не используются — после устранения проблем в различных компонентах веб-браузера, как уже упоминалось ниже, что может привести к атакам на удаленное выполнение кода.
Бесплатная уязвимость после использования — это класс повреждений памяти, который допускает повреждение или изменение данных в памяти, позволяя непривилегированным пользователям повышать привилегии в системе или программном обеспечении, подверженных повреждениям.
Уязвимости, исправленные хромом 77.0.3865.90
- Использование после освобождения в пользовательском интерфейсе (CVE-2019-13685) — Отчет Халила Жани
- Использование после освобождения в средствах массовой информации (CVE-2019-13688) — Сообщено исследовательской группой Man Yue Mo из Semmle Security
- Использование после освобождения в средствах массовой информации (CVE-2019-13687) — Сообщено исследовательской группой Man Yue Mo из Semmle Security
- Бесплатное использование в автономном режиме (CVE-2019-13686) — Отчет Брендона Тиски
Успешное использование этих уязвимостей может позволить злоумышленнику выполнить произвольный код в контексте браузера, убедив жертву просто открыть или перенаправить ее на специально созданную веб-страницу в браузере Chrome, не требуя дополнительного взаимодействия.
На основании предыдущих раскрытий, использование после устранения дефектов может также привести к раскрытию конфиденциальной информации, обходу ограничений безопасности, несанкционированным действиям и вызвать отказ в обслуживании — в зависимости от привилегий, связанных с приложением.
Хотя Google Chrome автоматически уведомляет пользователей о последней доступной версии, рекомендуется вручную запустить процесс обновления, перейдя в меню «Справка → О Google Chrome».
Кроме того, вам также рекомендуется запускать все программное обеспечение на ваших системах, когда это возможно, в качестве непривилегированного пользователя, чтобы уменьшить последствия успешных атак с использованием уязвимости нулевого дня.
Использование надежных VPN и регулярное обновление программ
Критические уязвимости, особенно в таких широко используемых приложениях, как Google Chrome, напоминают о постоянной необходимости обновления программного обеспечения и внимательного подхода к безопасности в целом. Хотя компания Google реагирует на уязвимости и оперативно выпускает исправления, пользователи также должны активно участвовать в процессе обновления, чтобы минимизировать риски для своих данных и систем.
Современные угрозы кибербезопасности заставляют нас постоянно оставаться бдительными и внимательными к новым обновлениям и рекомендациям безопасности. Важно также придерживаться общепринятых мер предосторожности, таких как использование надежных VPN и регулярное обновление программ, чтобы уберечь себя от возможных атак и утечек данных. Соблюдение этих базовых правил безопасности поможет поддерживать защищенность в онлайн-пространстве.