Η Google κυκλοφόρησε το Chrome 98.0.4758.102 για Windows, Mac και Linux, προκειμένου να διορθώσει μια πολύ σοβαρή zero-day ευπάθεια που χρησιμοποιείται ήδη σε επιθέσεις από φορείς απειλών.
“Η Google έχει μάθει από αναφορές ότι υπάρχει exploit για το CVE-2022-0609“, ανέφερε η Google σε ένα security advisory.
Δείτε επίσης: Αλλαγή στο λογότυπο του Chrome μετά από οκτώ χρόνια
Η εταιρεία δηλώνει ότι το Chrome update θα κυκλοφορήσει τις επόμενες εβδομάδες. Ωστόσο, είναι δυνατή η άμεση εγκατάσταση της ενημέρωσης μεταβαίνοντας στο Chrome menu > Help > About Google Chrome.
Επίσης, το πρόγραμμα περιήγησης ελέγχει αυτόματα για νέες ενημερώσεις και θα τις εγκαταστήσει την επόμενη φορά που θα κλείσετε και θα επανεκκινήσετε το Google Chrome.
Zero-day ευπάθεια: Δεν έχουν κυκλοφορήσει πολλές λεπτομέρειες
Η Google διόρθωσε το Chrome zero-day bug, το οποίο είναι γνωστό ως CVE-2022-0609, και περιγράφεται ως “Use after free in Animation“. Όπως είπαμε και παραπάνω, η ευπάθεια έχει χαρακτηριστεί ως πολύ σοβαρή.
Η zero-day ευπάθεια στο Chrome ανακαλύφθηκε από τον Clément Lecigne, ερευνητή από την ομάδα ανάλυσης απειλών της Google (Google’s Threat Analysis Group).
Δείτε επίσης: Ο Chrome 99 beta κυκλοφόρησε με πολλές νέες βελτιώσεις
Οι επιτιθέμενοι στον κυβερνοχώρο εκμεταλλεύονται συχνά use after free bugs για να εκτελέσουν κώδικα σε υπολογιστές που τρέχουν μη ενημερωμένες εκδόσεις του Chrome. Επίσης, τα χρησιμοποιούν για να ξεφύγουν από το security sandbox του προγράμματος περιήγησης.
Ωστόσο, η Google δεν αναφέρθηκε σε τεχνικές λεπτομέρειες σχετικά με την ευπάθεια. Είπε, απλά, ότι εντόπισε επιθέσεις που εκμεταλλεύονται αυτή τη zero-day ευπάθεια στο Chrome.
“Η πρόσβαση σε λεπτομέρειες του σφάλματος μπορεί να παραμείνει περιορισμένη έως ότου η πλειοψηφία των χρηστών λάβει την ενημέρωση
“, τόνισε η Google.Η εταιρεία είπε ότι η ενημέρωση 98.0.4758.102 του Google Chrome διόρθωσε και επτά άλλες ευπάθειες ασφαλείας, πέρα από το zero-day bug. Όλες αυτές οι ευπάθειες, εκτός από μία, θεωρούνται «Υψηλής» σοβαρότητας.
Δείτε επίσης: Bug Bounty 2021: Η Google πλήρωσε σε ερευνητές ασφαλείας 8,7 εκατ. $
Το πρώτο Chome zero-day που διορθώθηκε φέτος από τη Google
Με αυτήν την ενημέρωση, η Google διόρθωσε το πρώτο zero-day bug στο Chrome για το 2022.
Ωστόσο, πιθανότατα θα δούμε πολλά περισσότερα να αποκαλύπτονται με την πάροδο του χρόνου, αν λάβουμε υπόψη ότι το 2021 εντοπίστηκαν και διορθώθηκαν 16 zero-day ευπάθειες στο πρόγραμμα περιήγησης:
- CVE-2021-21148 – 4 Φεβρουαρίου
- CVE-2021-21166 – 2 Μαρτίου
- CVE-2021-21193 – 12 Μαρτίου
- CVE-2021-21220 – 13 Απριλίου
- CVE-2021-21224 – 20 Απριλίου
- CVE-2021-30551 – 9 Ιουνίου
- CVE-2021-30554 – 17 Ιουνίου
- CVE-2021-30563 – 15 Ιουλίου
- CVE-2021-30632 και CVE-2021-30633 – 13 Σεπτεμβρίου
- CVE-2021-37973 – 24 Σεπτεμβρίου
- CVE-2021-37976 και CVE-2021-37975 – 30 Σεπτεμβρίου
- CVE-2021-38000 και CVE-2021-38003 – 28 Οκτωβρίου
- CVE-2021-4102 – 13 Δεκεμβρίου
Όπως είπαμε και παραπάνω, η νέα ευπάθεια έχει ήδη χρησιμοποιηθεί σε επιθέσεις. Γι’ αυτό το λόγο, όλοι οι χρήστες πρέπει να σιγουρευτούν ότι έχουν λάβει την ενημέρωση στο Google Chrome.
Πηγή: Bleeping Computer