Wydając aktualizację o numerze 100.0.4896.60 dla swojej przeglądarki Chrome, firma Google wyeliminowała 28 luk w zabezpieczeniach. Co najmniej 9 z nich stwarzało duże zagrożenie dla bezpieczeństwa. Zaledwie kilka dni temu osobną aktualizacją firma załatała inną poważną lukę, która otrzymała oznaczenie CVE-2022-1096. W sumie programiści zajmujący się Chromem wydali poprawki dla 10 poważnych luk w niecały tydzień. Jeśli więc Twój komputer lub przeglądarka nie były uruchamiane ponownie od dłuższego czasu, nadszedł czas, aby się nimi zająć.
Luka w zabezpieczeniach CVE-2022-1096
Do tej pory firma Google nie opublikowała szczegółów na temat żadnej ze wspomnianych luk w zabezpieczeniach — zgodnie z jej polityką bezpieczeństwa dostęp do szczegółowego opisu luk pozostaje ograniczony, dopóki większość aktywnych użytkowników nie zainstaluje aktualizacji. Jednak już teraz wiadomo, że luka CVE-2022-1096 (ta, którą Google zamknął osobną łatką w piątek, 25 marca, zaledwie cztery dni przed główną aktualizacją), może powodować poważne problemy.
Luka w zabezpieczeniach, która otrzymała oznaczenie CVE-2022-1096, należy do klasy Type Confusion, co oznacza, że jest związana z błędem w obsłudze typów danych w silniku V8. Jest ona dość niebezpieczna, co potwierdza fakt, że Google ją wyeliminował osobno za pomocą poprawki awaryjnej. Co więcej, jak wynika z komunikatu informującym o wydaniu poprawek, firma Google wiedziała, że exploit dla tej luki istniał już 25 marca. Następnego dnia Microsoft zamknął tę lukę w przeglądarce Edge opartej na silniku Chromium. Podsumowując dostępne informacje, można założyć, że exploit wykorzystujący lukę nie tylko istnieje, ale jest aktywnie wykorzystywany.
Pozostałe 28 nowych luk w zabezpieczeniach
Spośród 28 luk w zabezpieczeniach, które zamyka najnowsza aktualizacja, większość (20 sztuk) została odkryta przez niezależnych badaczy, a pozostałe 8 przez wewnętrznych ekspertów Google’a. W grupie 9 luk o wysokim poziomie ważności 4 sztuki (CVE-2022-1125, CVE-2022-1127, CVE-2022-1131, CVE-2022-1133) należą do klasy use-after-free; 3 kolejne (CVE-2022-1128, CVE-2022-1129, CVE-2022-1132) są związane z nieodpowiednią implementacją w różnych komponentach, kolejna (CVE-2022-1130) ma związek z niewystarczającym poziomem kontroli poprawności niezaufanych danych wejściowych w interfejsie WebOTP, a ostatnia (CVE-2022-1134), podobnie jak wspomniana już CVE-2022-1096, to problem z błędem Type Confusion w silniku V8.
Jak zadbać o swoje bezpieczeństwo?
Najpierw należy zaktualizować przeglądarkę do najnowszej wersji — w chwili pisania tego tekstu jest to 100.0.4896.60. Jeśli Twoja wersja Chrome jest starsza, oznacza to, że Twoja przeglądarka nie została zaktualizowana automatycznie i zalecamy jej ręczną aktualizację, korzystając z naszych instrukcji krok po kroku. Jeśli korzystasz z przeglądarki Microsoft Edge, nie zapomnij jej również zaktualizować — odbywa się to w taki sam sposób, jak w przypadku Google Chrome.
Zalecamy również śledzenie wiadomości i aktualizowanie na bieżąco najbardziej krytycznych programów, w tym programów zabezpieczających, przeglądarek, pakietów biurowych i samego systemu operacyjnego.
Ponadto zalecamy korzystanie z niezawodnych rozwiązań ochronnych, które potrafią automatycznie wykrywać i zapobiegać próbom wykorzystania luk w zabezpieczeniach, dzięki czemu zapewniają ochronę przed atakami, zanim wydane zostaną oficjalne poprawki.