Η Google κυκλοφόρησε το Chrome 91.0.4472.164 για Windows, Mac και Linux για να επιδιορθώσει επτά ευπάθειες ασφαλείας, μεταξύ των οποίων και ένα σοβαρό zero-day σφάλμα, που έχει χρησιμοποιηθεί ήδη σε επιθέσεις.

Η Google γνωρίζει ότι υπάρχει exploit για το CVE-2021-30563“, αποκάλυψε η εταιρεία.

Η νέα έκδοση του Chrome άρχισε να κυκλοφορεί παγκοσμίως στο Stable desktop channel και θα είναι διαθέσιμη σε όλους τους χρήστες τις επόμενες ημέρες.

Δείτε επίσης: Google Chrome: Αποκτά λειτουργία HTTPS-Only για ασφαλή περιήγηση

Το Google Chrome θα ενημερωθεί αυτόματα, αλλά μπορείτε επίσης να το ενημερώσετε οι ίδιοι, ελέγχοντας την πρόσφατη έκδοση από τις Ρυθμίσεις> Βοήθεια> “Σχετικά με το Google Chrome”.

Google Chrome: Διόρθωση όγδοου zero-day bug φέτος

Το zero-day bug στο Google Chrome επιδιορθώθηκε την Πέμπτη και αναφέρθηκε από τον Sergei Glazunov του Google Project Zero. Το σφάλμα περιγράφεται ως type confusion bug στο V8.

Παρόλο που οι type confusion αδυναμίες γενικά οδηγούν σε browser crashes μετά από επιτυχημένη εκμετάλλευση, μπορούν επίσης να αξιοποιηθούν από εγκληματίες για την εκτέλεση κώδικα σε συσκευές που εκτελούν ευάλωτο λογισμικό.

Η Google είπε ότι γνωρίζει για το zero-day bug CVE-2021-30563 στον Chrome και για την εκμετάλλευσή του από hackers, δεν έδωσε όμως περισσότερες πληροφορίες σχετικά με αυτές τις επιθέσεις, ώστε να προλάβουν οι χρήστες να ενημερώσουν τα συστήματά τους προτού πραγματοποιηθούν και άλλες παραβιάσεις.

Δείτε επίσης: SolarWinds hackers: Χρήση iOS zero-day bug για παραβίαση ενημερωμένων iPhone

Η πρόσβαση σε λεπτομέρειες σχετικά με το σφάλμα ενδέχεται να παραμείνει περιορισμένη έως ότου η πλειοψηφία των χρηστών ενημερώσει τα συστήματα για να γίνει επιδιόρθωση“, δήλωσε η Google.

Συνολικά, η Google έχει διορθώσει φέτος οκτώ zero-day bugs στον Chrome browser. Εκτός από το CVE-2021-30563, η εταιρεία είχε διορθώσει τα:

  • CVE-2021-21148 – 4 Φεβρουαρίου 2021
  • CVE-2021-21166 – 2 Μαρτίου 2021
  • CVE-2021-21193 – 12 Μαρτίου 2021
  • CVE-2021-21220 – 13 Απριλίου 2021
  • CVE-2021-21224 – 20 Απριλίου 2021
  • CVE-2021-30551 – 9 Ιουνίου 2021
  • CVE-2021-30554 – 17 Ιουνίου 2021

Google Chrome: zero-day ευπάθειες

Η Ομάδα Ανάλυσης Απειλών της Google (TAG) κοινοποίησε πριν λίγες ημέρες λεπτομέρειες για την ​​εκμετάλλευση των zero-days CVE-2021-21166 και CVE-2021-30551.

Με βάση την ανάλυσή μας, εκτιμούμε ότι τα exploits του Chrome και του Internet Explorer που περιγράφονται εδώ, αναπτύχθηκαν και πωλήθηκαν από τον ίδιο προμηθευτή που παρέχει δυνατότητες παρακολούθησης σε πελάτες σε όλο τον κόσμο“, δήλωσε η Google.

Δείτε επίσης: Google πρόστιμο: Ποινή από τη Γαλλία σχετικά με τη δημοσίευση ειδήσεων

Την Πέμπτη, η Microsoft και η Citizen Lab συνέδεσαν τον προμηθευτή που αναφέρεται στην αναφορά του Google TAG, με τον Ισραηλινό προμηθευτή spyware Candiru.

Οι εγκληματίες ανέπτυξαν το spyware για να μολύνουν συσκευές iOS, Android, macOS και Windows, χρησιμοποιώντας Chrome zero-day bugs και σφάλματα των Windows.

Οι ερευνητές της Microsoft διαπίστωσαν ότι το κακόβουλο λογισμικό της Candiru χρησιμοποιήθηκε για να θέσει σε κίνδυνο τα συστήματα “πολιτικών, ακτιβιστών ανθρωπίνων δικαιωμάτων, δημοσιογράφων, ακαδημαϊκών, εργαζομένων σε πρεσβείες και πολιτικών αντιφρονούντων“.

Συνολικά, η Microsoft δήλωσε ότι ανακάλυψε “τουλάχιστον 100 θύματα στην Παλαιστίνη, το Ισραήλ, το Ιράν, τον Λίβανο, την Υεμένη, την Ισπανία, το Ηνωμένο Βασίλειο, την Τουρκία, την Αρμενία και τη Σιγκαπούρη“.

Πηγή: Bleeping Computer