cve
Firma Google wydała dla przeglądarki Chrome pilną aktualizację, która usuwa trzy luki w zabezpieczeniach: CVE-2021-37974, CVE-2021-37975 i CVE-2021-37976. Według ekspertów z firmy Google jedna z tych luk ma charakter krytyczny, a pozostałe dwie zostały uznane za wysoce niebezpieczne.
Co gorsza, według Google’a cyberprzestępcy już wykorzystują dwie z nich. Dlatego firma radzi wszystkim użytkownikom przeglądarki Chrome, aby natychmiast zaktualizowali ją do wersji 94.0.4606.71. Luki te dotyczą również innych przeglądarek opartych na silniku Chromium — na przykład Microsoft zaleca aktualizację Edge do wersji 94.0.992.38
CVE-2021-37974 i CVE-2021-37975 to luki klasy use-after-free (UAF) — wykorzystują one nieprawidłowe użycie pamięci sterty i mogą umożliwić osobom postronnym wykonanie dowolnego kodu na komputerze docelowym.
- Pierwsza z nich, CVE-2021-37974, jest związana z komponentem Bezpieczne przeglądanie — podsystemem Google Chrome, który ostrzega użytkowników przed niebezpiecznymi witrynami i pobieranymi plikami. W skali CVSS v3.1 wskaźnik ważności dla tej luki wynosi 7,7 na 10.
- Druga luka, CVE-2021-37975, została znaleziona w silniku JavaScript V8 firmy Crome. Jest ona uważana za najbardziej niebezpieczną ze wszystkich trzech i otrzymała notę 8.4 w skali CVSS v3.1, przez co zyskała miano krytycznej. Nieznani cyberprzestępcy już ją wykorzystują w swoich atakach na użytkowników Chrome.
- Przyczyną trzeciej luki w zabezpieczeniach, CVE-2021-37976, jest narażenie danych na ujawnienie przez rdzeń przeglądarki Google Chrome. Jest ona nieco mniej niebezpieczna: otrzymała 7.2 w skali CVSS v3.1, jednak ona również jest już wykorzystywana przez cyberprzestępców.
W jaki sposób cyberprzestępcy mogą wykorzystać te luki
Wykorzystanie wszystkich trzech luk w zabezpieczeniach wymaga stworzenia szkodliwej strony internetowej, z wbudowanym exploitem. Następnie potencjalny atakujący musi tylko zwabić na nią swoje ofiary. Exploity dla dwóch luk typu use-after-free umożliwią wykonanie dowolnego kodu na niezałatanych komputerach użytkowników przeglądarki Chrome, którzy na tę stronę weszli (w ten sposób może dojść do zhakowania systemu danego komputera), a tymczasem exploit wykorzystujący trzecią lukę, CVE-2021-37976, umożliwi atakującym uzyskanie dostępu do poufnych informacji ofiary.
Gdy większość użytkowników zaktualizuje swoje przeglądarki do nowszej wersji, firma Google najprawdopodobniej ujawni więcej szczegółów na temat wspomnianych luk. Nie warto opóźniać aktualizacji i lepiej zrobić to tak szybko, jak to możliwe.
Jak zachować bezpieczeństwo
Pierwszym krokiem powinno być zaktualizowanie przeglądarek na wszystkich urządzeniach, które mają dostęp do internetu. Dość często aktualizacja jest instalowana automatycznie po ponownym uruchomieniu przeglądarki, jednak wielu użytkowników nie uruchamia ponownie komputera przez długi czas, a w efekcie ich przeglądarka może pozostać podatna na ataki przez kilka dni lub nawet tygodni. Z tego względu zalecamy sprawdzenie wersji Chrome’a ręcznie: kliknij przycisk Dostosowywanie i kontrolowanie Google Chrome znajdujący się w prawym górnym rogu okna przeglądarki i wybierz Pomoc -> Google Chrome — informacje. Jeśli nie jest to najnowsza dostępna wersja przeglądarki, Chrome automatycznie rozpocznie aktualizację.
Aby uzyskać dodatkową ochronę, zalecamy użytkownikom zainstalowanie rozwiązań zabezpieczających na wszystkich urządzeniach łączących się z internetem. W ten sposób, nawet jeśli nie zdążysz zaktualizować swojej przeglądarki, technologie ochrony proaktywnej zminimalizują możliwość udanego wykorzystania luki w zabezpieczeniach.
Pracownikom działów bezpieczeństwa informacji w firmach zalecamy ponadto korzystanie z rozwiązań bezpieczeństwa na wszystkich urządzeniach, monitorowanie aktualizacji zabezpieczeń i stosowanie automatycznego dostarczania i kontrolowania aktualizacji. Rozsądnym posunięciem jest również nadanie priorytetu instalacji aktualizacji przeglądarki.
Porady