Мільярди користувачів версії Chrome для настільних комп’ютерів опинилися під загрозою. Браузер виявився вразливим перед хакерськими атаками, але цьому можна протистояти, пише Forbes.
Компанія Google протягом тижня зафіксувала три вразливості, які активно експлуатуються, — у результаті Chrome перебуває під атакою. Видання попереджає, що не варто чекати, коли браузер оновиться автоматично, і рекомендує користувачам встановити оновлення негайно. Щоб переконатися, що оновлення встановлено, слід закрити і перезапустити Chrome. Варто враховувати, що перші дві вразливості можуть зачепити кілька веб-браузерів, що використовують Chromium, — Google Chrome, Microsoft Edge і Opera.
Перше попередження Chrome “оновити зараз” з’явилося 9 травня, коли Google попередив, що знає про існування вразливості CVE-2024-4947. Вона полягала в проблемі використання після звільнення, коли покажчики на звільнену пам’ять не видаляються і тому ними можна зловживати. Зловмисники можуть використати UAF для передавання довільного коду (або посилання на нього) у програму і перейти до початку коду за допомогою “висячого” покажчика. Таким чином, виконання шкідливого коду може дозволити кіберзлочинцю отримати контроль над системою жертви.
13 травня саме вразливість під номером CVE-2024-4761 змусила Google попередити про загрозу. Цього разу це була вразливість пам’яті, що виходить за межі, яка зачіпає Javascript-движок Chrome V8. Проблеми такого типу дають змогу зловмиснику атакувати Chrome за допомогою шкідливих HTML-сторінок. Така вразливість може призвести до розкриття конфіденційної інформації, а також до ризику збою системи або програмного забезпечення, який може дати змогу зловмиснику отримати доступ до цих даних.
15 травня Google попередила, що вразливість CVE-2024-4947 призвела до ще однієї проблеми з пам’яттю — вразливості “плутанина типів”, що піддає користувачів атаці за допомогою створеної HTML-сторінки. Плутанина типів виникає, коли програмне забезпечення намагається отримати доступ до несумісних ресурсів в обхід системи безпеки.
Усі ці вразливості можуть дестабілізувати браузер або пристрій, але також можуть бути використані для запуску інших експлойтів.
Усі три вразливості вже додано до CISA — каталогу відомих експлуатованих вразливостей (KEV) Агентства кібербезпеки та безпеки інфраструктури США. Агентство має до 3, 6 і 10 червня відповідно вжити заходів щодо пом’якшення наслідків відповідно до інструкцій розробника.