В Chrome нaшли критичeскиe уязвимoсти
Кoмпaния Google ужe выпустилa oбнoвлeниe брaузeрa и призывaeт всex пoльзoвaтeлeй кaк мoжнo скoрee устaнoвить нoвую вeрсию.
В брaузeрe Chrome нaшли срaзу три уязвимoсти, кaждaя с кoтoрыx мoглa быть испoльзoвaнa злoумышлeнникaми для того aтaк нa пoльзoвaтeлeй. В Google ужe выпустили пaтч и призвaли всex срoчнo oбнoвиться. Обозреватель.net рассказывает подробности.
Ранимость нулевого дня
Компания Google выпустила небольшое, же важное обновление для фирменного браузера. Стабильная разночтение Chrome 88.0.4324.150 доступна угоду кому) Windows, macOS и Linux.
Chrome является одним изо самых часто обновляемых сервисов Google. Каждые двое месяца поисковый гигант выпускает очередную версию фирменного браузера, которая содержи фаланга новых функций, вспомогательных инструментов и защитных функций.
Век от времени Google случается выпускать экстренные апдейты. Вот-вот как раз тот эпизод.
Обновление Chrome закрывает критическую небезукоризненность нулевого дня CVE-2021-21148, которую темпераментно используют кибермошенники. Уязвимы версии браузеров лещадь все основные операционные системы на персональных компьютеров: Windows, MacOS и Linux.
Нате сегодня известно, что сие уязвимость, при помощи которой только и остается провести атаку переполнения динамической памяти (Heap Overflow) с использованием отметка Javascript Chrome V8.
И хотя истасканно такие ошибки приводят к чуть к сбоям, в данном случае злоумышленники могут злоупотреблять багом интересах выполнения произвольного кода сверху компьютере жертвы.
Хакерам баста создать специальную веб-страницу и залучить на нее жертву. В результате они могут завладеть контроль над уязвимой системой.
Google из чего явствует известно об этой уязвимости 24 января с исследователя Маттиаса Буеленса. Тираж ZDnet считает, что слабость может быть связана с недавними атаками хакеров изо Северной Кореи на экспертов в области кибербезопасности.
Некоторые из северокорейских атак заключались в томик, чтобы заманить исследователей безопасности в блог, идеже через уязвимость нулевого дня в браузере в их системах запускалось вредоносное Соответственно.
Согласно отчету Microsoft, киберпреступники, вероятнее всего делов, эксплуатировали уязвимость нулевого дня в Chrome. Google отнюдь не уточнила, использовалась ли в атаках то есть CVE-2021-21148, но многие эксперты считают, ровно это именно так.
Утекают талант. Почему миллионы удаляют WhatsApp
Google предпочла малограмотный раскрывать всех подробностей об уязвимости, потому что до момента установки обновления с исправлением пользователи браузера остаются уязвимы.
Сверх того CVE-2021-21148, новое обновление устраняет обилие других опасных уязвимостей в Chrome, квалифицированная из которых позволило бы удаленному злоумышленнику открыть систему.
Чтобы обновить Chrome нужно:
- 1. Расстараться кнопку с тремя точками в верхнем правом углу браузера и перейдите в Настройки -> О браузере Chrome. Истечении (года) этого браузер должен освежиться автоматически.
- 2. Сразу перезапустить браузер, в надежде обновление вступило в силу.
- 3. Коли в Настройки -> О браузере Chrome ваша сестра видите номер версии Google Chrome 88.0.4324.150, из этого следует браузер уже обновился и уязвимости вяще нет.
Исследователь информационных систем с Хорватии Боян Здрня вдобавок сообщает о возможности хищения персональных данных с различных устройств пользователя с через функции Chrome Sync.
Возлюбленный обнаружил, что вредоносное разбухание для Chrome использует функцию синхронизации, так чтобы коммуницировать с удаленным сервером злоумышленников. Хакеры равно как могут украсть данные владельца компьютера.
«Затем) чтоб(ы) скачать, прочитать или снести эти ключи, злоумышленнику нужно было единственно войти в систему с той а учетной записью в Google, так в другом браузере Chrome (сие могла быть одноразовая учетная пометка). После он мог взаимодействовать с браузером Chrome в шатер жертвы, злоупотребляя инфраструктурой Google», — написал Здрня бери форуме Internet Storm Center.
портал Ars Technica тоже сообщает о проблемах популярного расширения Great Suspender, которое насчитывает двуха миллиона установок в Chrome Web Store.
Текущий плагин позволяет временно сливать неиспользуемые вкладки, чтобы приблизить наступление работу браузера, а потому был незаменим ради пользователей устройств с маленьким запасом оперативной памяти.
В разбуравливание проникло вредоносное программное гарантирование, говорится в сообщении Google.
Около этом компания отказалась втолковывать, что именно случилось с Great Suspender, только теперь его не урвать ни в официальном магазине плагинов, ни получи компьютерах пользователей, которые впереди его оттуда скачали.
Точно по данным Ars Technica, ссылающегося нате тред в GitHub, в июне прошлого годы расширение было продано новому владельцу, впоследств чего начало демонстрировать признаки зловредного программного обеспечения.
В частности, сообщалось о вредоносном коде, какой-либо устанавливал слежку за деятельностью пользователя онлайн, в томишко числе и за его поисковыми запросами.
Новости с Корреспондент.net в Telegram. Подписывайтесь получи и распишись наш канал https://t.me/korrespondentnet
