Hvis du bruker Google Chrome, betyr en null-dagers sårbarhet i portaler at du bør oppdatere umiddelbart

NyhetsbrevNov 13, 2023

En null-dagers sårbarhet i Google Chromes portaler betyr at du bør oppdatere umiddelbart, siden den har blitt utnyttet i naturen.

Hvis du bruker Google Chrome, bør du oppdatere umiddelbart. En null-dagers sikkerhetsfeil ble rettet som en del av Chrome 94.0.4606.61, som ble utgitt som en nødoppdatering for Windows, Mac og Linux. Utnyttelsen har blitt tildelt CVE-IDen CVE-2021-37973, selv om selskapet har holdt tilbake informasjon om utnyttelsen til flertallet av brukerne har oppdatert. Oppdateringen ruller ut på den stabile kanalen nå, og brukere bør oppdatere så snart de kan. For å sjekke Chrome-versjonen din, klikk på overløpsmenyen øverst til høyre, gå til «mer» og klikk på «hjelp». Den vil si Chrome-versjonen du har installert, og vil også installere den nyeste tilgjengelige for deg.

I en sikkerhetsrådgivning utstedt av selskapet (via BleepingComputer), sa det at "Google er klar over at en utnyttelse for CVE-2021-37973 eksisterer i naturen." Google sier at dette er en "bruk etter gratis

"angrep inn Portaler, som betyr at en feil i portaler tillater at minne som har blitt frigjort fortsatt kan refereres. Dette kan føre til uventet oppførsel og kan føre til utnyttelse av nettleseren under ideelle forhold for en angriper. Portaler er en funksjon som selskapet begynte å teste i 2019, og brukes til innbygging og sømløse overganger mellom sider.

Null-dagers sikkerhetsfeil som ble løst i dag ble rapportert dagen den første stabile versjonen av Google Chrome 94 ble publisert, 21. september. Det ble oppdaget av Clément Lecigne fra Google TAG, med assistanse fra Sergei Glazunov og Mark Brand fra Google Project Zero. Project Zero er en sikkerhetsavdeling ansatt av Google, som ble grunnlagt i 2014. Teamets primære oppgave er å oppdage nulldagssårbarheter – det vil si sårbarheter som er ukjente (eller ikke adressert av) parten som burde være interessert i å redusere dette. "Heartbleed" er en slik nulldag exploit, som ble privat rapportert av to separate sikkerhetsteam til OpenSSL. Et av disse sikkerhetsteamene opererte under Google og førte til slutt til opprettelsen av Project Zero.

Siden denne feilen har blitt avslørt av Google, bringer det tallet opp til 11 nulldagssårbarheter som ble oppdaget i Google Chrome i 2021.