Εάν χρησιμοποιείτε το Google Chrome, μια ευπάθεια zero-day στα Portals σημαίνει ότι θα πρέπει να ενημερώσετε αμέσως

Σύντομη είδησηNov 13, 2023

Μια ευπάθεια zero-day στις Πύλες του Google Chrome σημαίνει ότι θα πρέπει να ενημερώσετε αμέσως, καθώς έχει γίνει αντικείμενο εκμετάλλευσης στη φύση.

Εάν χρησιμοποιείτε το Google Chrome, θα πρέπει να ενημερώσετε αμέσως. Ένα ελάττωμα ασφαλείας μηδενικής ημέρας διορθώθηκε ως μέρος του Chrome 94.0.4606.61, το οποίο κυκλοφόρησε ως ενημέρωση έκτακτης ανάγκης για Windows, Mac και Linux. Στο exploit έχει εκχωρηθεί το CVE ID CVE-2021-37973, αν και η εταιρεία έχει αποκρύψει πληροφορίες σχετικά με την εκμετάλλευση έως ότου οι περισσότεροι χρήστες έχουν ενημερώσει. Η ενημέρωση κυκλοφορεί τώρα στο σταθερό κανάλι και οι χρήστες θα πρέπει να ενημερώσουν το συντομότερο δυνατό. Για να ελέγξετε την έκδοση του Chrome, κάντε κλικ στο μενού υπερχείλισης επάνω δεξιά, μεταβείτε στο "περισσότερα" και κάντε κλικ στο "βοήθεια". Θα αναφέρει την έκδοση του Chrome που έχετε εγκαταστήσει και θα εγκαταστήσει επίσης την πιο πρόσφατη διαθέσιμη σε εσάς.

Σε ένα εκδόθηκε συμβουλευτική για την ασφάλεια από την εταιρεία (μέσω

BleepingComputer), είπε ότι "Η Google γνωρίζει ότι υπάρχει εκμετάλλευση για το CVE-2021-37973 στη φύση." Η Google λέει ότι αυτό είναι ένα "χρήση μετά από δωρεάν«επίθεση μέσα Πύλες, πράγμα που σημαίνει ότι ένα σφάλμα στο Portals επιτρέπει στη μνήμη που έχει ελευθερωθεί να εξακολουθεί να αναφέρεται. Αυτό μπορεί να οδηγήσει σε απροσδόκητη συμπεριφορά και μπορεί να οδηγήσει σε εκμετάλλευση του προγράμματος περιήγησης σε ιδανικές συνθήκες για έναν εισβολέα. Οι πύλες είναι ένα χαρακτηριστικό που η εταιρεία άρχισε να δοκιμάζει το 2019 και χρησιμοποιούνται για ενσωμάτωση και απρόσκοπτη μετάβαση μεταξύ σελίδων.

Το ελάττωμα ασφαλείας zero-day που διορθώθηκε σήμερα αναφέρθηκε την ημέρα που δημοσιεύτηκε η πρώτη σταθερή έκδοση του Google Chrome 94, στις 21 Σεπτεμβρίου. Ανακαλύφθηκε από τον Clément Lecigne από την Google TAG, με τη βοήθεια των Sergei Glazunov και Mark Brand από το Google Project Zero. Το Project Zero είναι ένα τμήμα ασφαλείας που απασχολείται από την Google, η οποία ιδρύθηκε το 2014. Η κύρια αποστολή της ομάδας είναι να ανακαλύψει τρωτά σημεία zero-day – δηλαδή τρωτά σημεία που είναι άγνωστα (ή δεν έχουν αντιμετωπιστεί από) το μέρος που θα πρέπει να ενδιαφέρεται για τον μετριασμό τους. Το “Heartbleed” είναι μια τέτοια ημέρα μηδέν exploit, το οποίο αναφέρθηκε ιδιωτικά από δύο ξεχωριστές ομάδες ασφαλείας στο OpenSSL. Μία από αυτές τις ομάδες ασφαλείας λειτουργούσε υπό την Google και τελικά οδήγησε στη δημιουργία του Project Zero.

Με αυτό το σφάλμα να έχει αποκαλυφθεί από την Google, αυτό ανεβάζει τον απολογισμό σε 11 τρωτά σημεία zero-day που ανακαλύφθηκαν στο Google Chrome το 2021.