Τετάρτη 27.10.2021

Νέα προειδοποίηση Google για “ευπάθειες” του Chrome – Αφορά 2 δισεκατομμύρια χρήστες

Οι επιθέσεις στο πρόγραμμα περιήγησης Chrome συνεχίζουν να αυξάνονται. Η Google προχώρησε πρόσφατα σε νέα προειδοποίηση προς τα δισεκατομμύρια των χρηστών του Chrome, επιβεβαιώνοντας παράλληλα δύο ακόμη κρίσιμες επιθέσεις στο πρόγραμμα περιήγησής της.

Συγκεκριμένα, με ανάρτηση στο επίσημο ιστολόγιό της, η Google γνωστοποίησε ότι εντοπίστηκαν δύο ακόμη, η 12η και η 13η από την αρχή του έτους, “ευπάθειες μηδενικής ημέρας” στο Chrome (CVE-2021-37975 και CVE-2021-37976), προσθέτοντας ότι επηρεάζουν τους χρήστες Linux, macOS και Windows.

Οι επιθέσεις “μηδενικής ημέρας” είναι ιδιαίτερα κρίσιμες και επικίνδυνες διότι σε αυτές της περιπτώσεις οι ευπάθειες είναι γνωστές τους χάκερ πριν ακόμη η Google μπορέσει να κυκλοφορήσει μια αναβάθμιση που να διορθώνει το πρόβλημα. Αυτό θέτει τους χρήστες του Chrome σε άμεσο κίνδυνο.

Η Google το επιβεβαιώνει και η ίδια, δηλώντας χαρακτηριστικά στην ανάρτησή της πως “γνωρίζει ότι οι εκμεταλλεύσεις CVE-2021-37975 και CVE-2021-37976 είναι ευρύτερα γνωστές”.

Με βάση το πρωτόκολλο ασφαλείας που ακολουθεί, η Google περιορίζει τη διάθεση πληροφοριών και για τις δύο αυτές ευπάθειες προκειμένου να “αγοράσει” χρόνο μέχρι να κυκλοφορήσει αναβαθμίσεις που θα διορθώσουν τα προβλήματα. Οι μόνες πληροφορίες που έχει αποκαλύψει ο τεχνολογικός κολοσσός, παράλληλα με τον χαρακτηρισμό “υψηλού κινδύνου”, είναι οι εξής:

– Υψηλού κινδύνου – CVE-2021-37974: Πρόκειται για use-after-free ευπάθεια κατά την Ασφαλή Περιήγηση (σ.σ. Η Use-After-Free (UAF) ευπάθεια σχετίζεται με την εσφαλμένη χρήση της δυναμικής μνήμης κατά τη λειτουργία του προγράμματος. Εάν μετά την απελευθέρωση μιας θέσης μνήμης, ένα πρόγραμμα δεν καθαρίσει τον δείκτη, κάποιος μπορεί να χρησιμοποιήσει το σφάλμα για να χακάρει το πρόγραμμα.). Η ευπάθεια αναφέρθηκε από τον Weipeng Jiang (@Krace) της Codesafe Team of Legendsec του Qi’anxin Group την 1η.09.2021.

– Υψηλού κινδύνου – CVE-2021-37975: Πρόκειται επίσης για UAF ευπάθεια κατά τη χρήση του V8 (JavaScript engine). Αναφέρθηκε από Άγνωστο στις 24.09.2021.

– Μέσου κινδύνου – CVE-2021-37976: Διαρροή πληροφοριών πυρήνα. Αναφέρθηκε από τον Clément Lecigne της Google TAG, με την τεχνική συνδρομή των Sergei Glazunov και Mark Brand του Google Project Zero στις 21.09.2021.

Αξίζει να σημειωθεί ότι η πρώτη επίθεση “μηδενικής ημέρας” είναι μια ευπάθεια “Use-After-Free” (UAF), η οποία έχει στοχοποιηθεί επανειλημμένως από τους χάκερς τους τελευταίους μήνες. Οι διψήφιες επιθέσεις UAF που καταγράφηκαν στο πρόγραμμα περιήγησης Chrome τον Σεπτέμβριο και τον Οκτώβριο φαίνεται δε ότι θα συνεχιστούν.

Τα τρωτά σημεία της εν λόγω ευπάθειας UAF αφορούν εκμεταλλεύσεις της μνήμης, που καθίστανται εφικτές όταν ένα πρόγραμμα αποτυγχάνει να καθαρίσει τον δείκτη μνήμης μετά την απελευθέρωσή της.

Για την αντιμετώπιση της εν λόγω ευπάθειας, η Google κυκλοφόρησε μια ζωτικής σημασίας ενημέρωση του προγράμματος. Η εταιρεία προειδοποιεί, ωστόσο, τους χρήστες του Chrome ότι η διάθεση της ενημέρωσης θα είναι κλιμακωτή, οπότε δεν θα μπορούν όλοι να “προστατεύσουν” αμέσως τις συσκευές τους.

Για να ελέγξετε εάν είστε προστατευμένοι, μεταβείτε στις Ρυθμίσεις> Βοήθεια> Σχετικά με το Google Chrome. Εάν η έκδοση Chrome στη συσκευή σας είναι 94.0.4606.71 ή νεότερη, είστε ασφαλείς. Εάν η ενημέρωση δεν είναι ακόμη διαθέσιμη για την έκδοση του πρόγραμμα περιήγησης που χρησιμοποιείται, ελέγχετε τακτικά για νέα έκδοση.

Και θυμηθείτε το τελευταίο αλλά κρίσιμο βήμα. Ακόμη και μετά την ενημέρωση, το Chrome δεν καθίσταται ασφαλές αν δεν γίνει επανεκκίνηση του προγράμματος.

Παρότι η Google σπεύδει να επιδιορθώσει τις ευπάθειες του Chrome, είναι γνωστό ότι οι χάκερς βάζουν “στο χέρι” δεδομένα χρηστών του προγράμματος περιήγησης που δεν συνειδητοποιούν ότι παραμένουν ευάλωτοι μετά την εγκατάσταση των ενημερώσεων.

Τρέξτε να ελέγξετε το πρόγραμμα περιήγησής σας άμεσα.

Πηγή άρθρου και φωτογραφίας: Capital.gr

ΡΟΗ ΕΙΔΗΣΕΩΝ