Firma Google wydała aktualizację zabezpieczeń dla swojej przeglądarki internetowej Chrome, która usuwa kolejną lukę w zabezpieczeniach typu 0-day. Jest to druga luka typu 0-day naprawiona przez Google w ostatnim czasie w przeglądarce Chrome i trzecia aktualizacja zabezpieczeń od wydania przeglądarki Chrome 123 20 marca 2024 r.
Użytkownicy Chrome mogą chcieć natychmiast zaktualizować przeglądarkę, aby chronić ją przed potencjalnymi atakami.
Załaduj chrome://settings/help na pulpit, aby sprawdzić, czy Chrome jest aktualny. Przeglądarka Chrome jest aktualna, jeśli widzisz jedną z następujących wersji: 123.0.6312.105, 123.0.6312.106 lub 123.0.6312.107.
Przeglądarka powinna pobrać najnowszą aktualizację zabezpieczeń, jeśli zainstalowana jest starsza wersja. Należy pamiętać, że działa to tylko w systemach stacjonarnych. Aktualizacje Chrome na Androida są zarządzane przez Google Play.
0-dniowa luka w JavaScript
Luka byłapokazanopo raz pierwszy publicznie udostępniony podczas konkursu hakerskiego Pwn2Own w marcu 2024 r. Zademonstrowani przez badaczy bezpieczeństwa Edouarda Bochina i Tao Yana, badaczom udało się wykorzystać ten exploit podczas rywalizacji w przeglądarce Chrome, a także Microsoft Edge.
Dzięki temu podczas zawodów zarobili 42500 dolarów. Według oficjalnego komunikatu, exploit wykorzystywał odczyt poza granicami „oraz nowatorską technikę”, aby pokonać utwardzanie V8 i wykonać dowolny kod w module renderującym.
POWIĄZANY:Nowa luka w Bluetooth naraża iPhone'y na ryzyko – oto, co musisz wiedzieć
Problem dotyczy także innych przeglądarek internetowych opartych na Chromium, ponieważ wpływa na współdzielony komponent. Niektóre przeglądarki mogły zostać już zaktualizowane w odpowiedzi na zgłoszony problem bezpieczeństwa.
Końcowe słowa
Konkurs Pwn2Own słynie z wyszukiwania i wykorzystywania luk w zabezpieczeniach wszelkiego rodzaju produktów. Przeglądarki są celem o wysokim priorytecie od chwili, gdy pojawiła się konkurencja hakerska.
Przeglądarki są lukratywnym celem, ponieważ udane exploity otwierają wiele możliwości. Obejmuje to ekstrakcję danych i manipulację treścią w przeglądarkach po kradzież plików cookie lub haseł.
Mozillii Microsoft zajęły się także lukami typu 0-day w Firefoksie i Edge, ponieważ przeglądarki te były również wykorzystywane podczas rywalizacji.
Próbując to zrobić, Google ogłosił w tym tygodniu nowy projektzapobiec kradzieży plików cookie. Firma ma nadzieję, że projekt ten stanie się nowym standardem sieciowym. W swojej istocie wiąże pliki cookie z systemem, w którym zostały utworzone.
Czy aktualizujesz swoje przeglądarki?