Núdzová aktualizácia zabezpečenia prehliadača Google Chrome uprostred prebiehajúcich kybernetických útokov

Aktualizácia zo 17. apríla nižšie. Tento článok bol pôvodne publikovaný 14. apríla

Spoločnosť Google teraz vydala tri núdzové aktualizácie zabezpečenia mimo pásma pre prehliadač Chrome v priebehu niekoľkých týždňov. Táto, rovnako ako prvá, navyše opravuje veľmi závažnú zraniteľnosť zero-day, ktorú už útočníci zneužívajú.

Tri núdzové aktualizácie zabezpečenia prehliadača Google Chrome za tri týždne

Google vydal ďalšiu núdzovú bezpečnostnú aktualizáciu pre všetkých 3,2 miliardy používateľov webového prehliadača Chrome. Tretia takáto aktualizácia, ktorá odhaľuje jedinú veľmi závažnú zraniteľnosť, má byť vydaná o tri týždne. Toto, rovnako ako prvá z tohto znepokojujúceho triumvirátu hrozieb, je zraniteľnosť nultého dňa: zraniteľnosť, o ktorej spoločnosť Google potvrdila, že ju už útočníci zneužívajú.

Ako vážne je CVE-2022-1364?

Tým však podobnosti nekončia. CVE-2022-1364, predmetná zraniteľnosť, je ďalšou „zmätenosťou typov vo V8“. To znamená, že to má vplyv na nástroj JavaScript, ktorý používajú prehliadače s technológiou Chromium, ako sú Google Chrome, Microsoft Edge, Brave a ďalšie. Tak ako predtým, Google nesprístupňuje ďalšie technické podrobnosti a v potvrdení aktualizácie sa uvádza, že „zachováme aj obmedzenie“, čo naznačuje, že ide skutočne o obzvlášť závažnú zraniteľnosť.

Proces aktualizácie zabezpečenia sa už začal a oprava by mala byť dostupná v najbližších dňoch a týždňoch. Táto núdzová aktualizácia inovuje Chrome na verziu 100.0.4896.127 na platformách Windows, Mac a Linux. Používateľom prehliadačov ako Microsoft Edge, Brave, Vivaldi a Opera sa odporúča venovať pozornosť pravdepodobným aktualizáciám pre tie, ktoré budú čoskoro dostupné.

VIAC FORBESGoogle náhle vydáva novú núdzovú bezpečnostnú aktualizáciu pre 3,2 miliardy používateľov prehliadača ChromeAutor: Davey Winder

Je zvláštne, že oznámenie spoločnosti Google o aktualizácii hovorí, že obsahuje dve bezpečnostné opravy, ale v skutočnosti uvádza iba CVE-2022-1364, ako to zverejnil Clément Lecigne, ktorý spolupracuje so skupinou Google Threat Analysis Group. O závažnosti tejto zraniteľnosti svedčí aj fakt, že bola spoločnosti Google nahlásená 13. apríla a bezpečnostná aktualizácia bola vydaná nasledujúci deň. Je to veľmi vítaný obrat, ale rovnako nezvyčajný a rýchly.

Kontaktoval som Google so žiadosťou o vyjadrenie.

Systém odhaľovania zraniteľností spoločnosti Google funguje podľa očakávania

Ako som už povedal, to sa nerovná slabému zabezpečeniu Google, práve naopak. Vyspelosť bezpečnostného programu Google Chrome dokazuje objavenie a oprava týchto zraniteľností. Je to dôkaz, že systém zverejňovania zraniteľností funguje a funguje dobre. Samozrejme, bolo by lepšie, keby na začiatku v kóde neboli také vážne zraniteľnosti, ale pravdou je, že nežijeme v ideálnom svete, kde sa chyby nerobia.

VIAC FORBESTýchto 6 nebezpečných telefónnych aplikácií by sa malo okamžite odstrániťAutor: Davey Winder

Ako použiť bezpečnostnú opravu Google Chrome

Chrome by sa mal aktualizovať automaticky, keď bude oprava k dispozícii. Odporúča sa však začať proces aktualizácie čo najskôr, pretože prebiehajú útoky.

Prejsť na pomoc | O ponuke Google Chrome. Ak sa vaša verzia prehliadača Chrome nezobrazuje ako 100.0.4896.127, bude zraniteľná voči známemu zneužitiu. Aktualizácia by sa však mala začať sťahovať automaticky. Môže trvať niekoľko dní, kým sa aktualizácia dostane ku všetkým, takže buďte trpezliví, ak ju ešte nevidíte.

Nezabudnite tiež po inštalácii aktualizácie reštartovať prehliadač, inak sa neaktivuje a stále budete zraniteľní voči útokom.

Aktualizácia 15. apríla: Dobrá správa pre používateľov Brave, aktualizácia sa už spúšťa. Moja kópia Brave bola aktualizovaná dnes ráno, ako môžete vidieť na snímke obrazovky nižšie. Jednoducho prejdite na položku „About Brave“ v ponuke hamburgerov a Brave automaticky spustí proces aktualizácie.

Aktualizácia 17. apríla: Po mojej predchádzajúcej aktualizácii, ktorú používatelia webového prehliadača Brave dokázali opraviť proti zraniteľnosti zero-day objavenej v engine Chromium, sú tu ďalšie dobré správy. Môžem potvrdiť, že používatelia Microsoft Edge budú chránení aj po stiahnutí a nainštalovaní najnovšej aktualizácie zabezpečenia prehliadača. Pokyny, ako to urobiť, sú uvedené nižšie.

Nečakajte na automatickú aktualizáciu, pretože táto zraniteľnosť umožňuje potenciálnemu útočníkovi prevziať kontrolu nad vaším počítačom a zneužitie vo voľnej prírode už existuje. Jednoduchou kontrolou verzie prehliadača Edge tento proces spustí sťahovanie, ak je aktualizácia pripravená.

Je dobré vidieť, že Microsoft tak rýchlo zareagoval na túto zraniteľnosť. To znamená, že moja kópia prehliadača Brave stále porazila spoločnosť Microsoft v oprave zraniteľnosti. Súčasne som skontroloval aktualizácie Brave a Edge a Edge v tom čase ešte nemal zavedené a dostupné žiadne aktualizácie. To by mohla byť výhoda z rozsahu, pričom Brave je zjavne oveľa menšou operáciou ako Microsoft a je potrebné zvážiť oveľa menšiu používateľskú základňu. Keďže však oba používajú rovnaký motor Chromium na napájanie príslušných prehliadačov, nemyslím si, že je potrebné očakávať priveľa veľkých aktualizácií, ako je táto. V skutočnosti by som bol šťastnejší, keby boli aktualizácie zavedené do všetkých prehliadačov naraz, než aby každý bol o krok alebo dva za Google Chrome.

A neberte ma len za slovo, alebo že Google nielen objavil problém, ale vydal aj núdzovú opravu, zvážte aj vládu USA. a Agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) tiež potvrdila, že zraniteľnosť „bola zistená pri exploitoch vo voľnej prírode“ a vyzýva používateľov a správcov, aby aplikovali potrebné aktualizácie. Aj keď to nemá rovnakú váhu ako oficiálna výstraha CISA alebo skutočne núdzová smernica, ktorá vyžaduje opravu v rámci federálnych jednotiek v stanovenom časovom rámci, stále to jasne naznačuje, že to nie je len vaša obyčajná bezpečnostná záplata.

Ako sa uistiť, že Microsoft Edge má najnovšiu aktualizáciu zabezpečenia

1. V ponuke „tri bodky“ vpravo hore vyberte „Pomoc a spätná väzba | O Microsoft Edge“.

2. Tým sa okamžite skontroluje, či je k dispozícii aktualizácia, a ak áno, začne sa sťahovanie.

3. Po dokončení sťahovania budete musieť reštartovať prehliadač, aby ste sa uistili, že inštalácia je dokončená a ste správne chránení.