Браузер виявився вразливим перед хакерськими атаками, але цьому можна протистояти, пише Forbes. Компанія Google протягом тижня зафіксувала три вразливості, які активно експлуатуються, — у результаті Chrome перебуває під атакою.
Видання попереджає, що не варто чекати, коли браузер оновиться автоматично, і рекомендує користувачам встановити оновлення негайно. Щоб переконатися, що оновлення встановлено, слід закрити і перезапустити Chrome.
Варто враховувати, що перші дві вразливості можуть зачепити кілька веб-браузерів, що використовують Chromium, — Google Chrome, Microsoft Edge і Opera. Перше попередження Chrome "оновити зараз" з'явилося 9 травня, коли Google попередив, що знає про існування вразливості CVE-2024-4947.
Вона полягала в проблемі використання після звільнення, коли покажчики на звільнену пам'ять не видаляються і тому ними можна зловживати.
Зловмисники можуть використати UAF для передавання довільного коду (або посилання на нього) у програму і перейти до початку коду за допомогою "висячого" покажчика. Таким чином, виконання шкідливого коду може дозволити кіберзлочинцю отримати контроль над системою жертви.
13 травня саме вразливість під номером CVE-2024-4761 змусила Google попередити про загрозу. Цього разу це була вразливість пам'яті, що виходить за межі, яка зачіпає Javascript-движок Chrome V8. Проблеми такого типу дають змогу зловмиснику атакувати Chrome за допомогою шкідливих HTML-сторінок.
Така вразливість може призвести до розкриття конфіденційної інформації, а також до ризику збою системи або програмного забезпечення, який може дати змогу зловмиснику отримати доступ до цих даних.
15 травня Google попередила, що вразливість CVE-2024-4947 призвела до ще однієї проблеми з пам'яттю — вразливості "плутанина типів", що піддає користувачів атаці за допомогою створеної HTML-сторінки.
Плутанина типів виникає, коли програмне забезпечення намагається отримати доступ до несумісних ресурсів в обхід системи безпеки. Усі ці вразливості можуть дестабілізувати браузер або пристрій, але також можуть бути використані для запуску інших експлойтів.
Усі три вразливості вже додано до CISA — каталогу відомих експлуатованих вразливостей (KEV) Агентства кібербезпеки та безпеки інфраструктури США. Агентство має до 3, 6 і 10 червня відповідно вжити заходів щодо пом'якшення наслідків відповідно до інструкцій розробника.
Всі права захищені IN-Ukraine.info - 2022