Luka typu zero-day w portalach przeglądarki Google Chrome oznacza, że należy ją natychmiast zaktualizować, ponieważ została ona wykorzystana w środowisku naturalnym.
Jeśli używasz przeglądarki Google Chrome, powinieneś natychmiast dokonać aktualizacji. W przeglądarce Chrome 94.0.4606.61, która została wydana jako aktualizacja awaryjna dla systemów Windows, Mac i Linux, naprawiono lukę w zabezpieczeniach typu zero-day. Exploitowi przypisano identyfikator CVE CVE-2021-37973, chociaż firma zataiła informacje na temat exploita do czasu aktualizacji przez większość użytkowników. Aktualizacja jest już udostępniana w wersji stabilnej i użytkownicy powinni dokonać aktualizacji tak szybko, jak to możliwe. Aby sprawdzić wersję przeglądarki Chrome, kliknij rozszerzone menu w prawym górnym rogu, przejdź do „więcej” i kliknij „pomoc”. Powie zainstalowaną wersję Chrome, a także zainstaluje najnowszą dostępną dla Ciebie.
W wydano zalecenie dotyczące bezpieczeństwa przez firmę (poprzez Błyszczący Komputer)
napisano, że „Google wie, że w środowisku naturalnym istnieje exploit dla CVE-2021-37973”. Google twierdzi, że jest to „użyj po darmowym„atak w Portale, co oznacza, że błąd w Portalach umożliwia dalsze odwoływanie się do zwolnionej pamięci. Może to prowadzić do nieoczekiwanego zachowania i może prowadzić do wykorzystania przeglądarki w idealnych warunkach dla atakującego. Portale to funkcja, którą firma zaczęła testować w 2019 roku i służą do osadzania i płynnego przechodzenia pomiędzy stronami.Naprawiona dzisiaj luka w zabezpieczeniach typu zero-day została zgłoszona w dniu publikacji pierwszej stabilnej wersji przeglądarki Google Chrome 94, czyli 21 września. Został odkryty przez Clémenta Lecigne z Google TAG przy pomocy Siergieja Głazunowa i Marka Branda z Google Project Zero. Project Zero to dział bezpieczeństwa zatrudniony przez Google, który powstał w 2014 roku. Podstawową misją zespołu jest wykrywanie luk typu zero-day, czyli luk nieznanych (lub nienaprawionych przez) stronę, która powinna być zainteresowana ich złagodzeniem. „Heartbleed” jest jeden taki dzień zerowy exploit, który został prywatnie zgłoszony do OpenSSL przez dwa oddzielne zespoły ds. bezpieczeństwa. Jeden z tych zespołów ds. bezpieczeństwa działał w ramach Google i ostatecznie doprowadził do powstania Projektu Zero.
Po ujawnieniu tego błędu przez Google daje to liczbę 11 luk typu zero-day wykrytych w przeglądarce Google Chrome w 2021 r.