Badacze wykryli w przeglądarce Google Chrome lukę krytyczną, która została oznaczona CVE-2021-21148. Ponieważ cyberprzestępcy już ją wykorzystują, należy ją jak najszybciej zalatać. Podatne są wszystkie wersje przeglądarki dla najpopularniejszych systemów operacyjnych (Windows, MacOS i Linux). Poniżej opisujemy, co się stało i jak pozbyć się tego problemu.
Dlaczego luka CVE-2021-21148 jest niebezpieczna
Wspomniana luka umożliwia cyberprzestępcom przeprowadzenie tzw. ataku przepełnienia sterty, który może umożliwić zdalne uruchomienie kodu na urządzeniu ofiary. Wykorzystanie tej podatności może być tak proste, jak przygotowanie szkodliwej strony internetowej i zwabienie na nią ofiar, a w efekcie oszuści mogą przejąć całkowitą kontrolę nad zainfekowanym systemem.
W tym przypadku podatnym komponentem okazał się umieszczony w przeglądarce silnik JavaScript V8. Google otrzymało informację o luce 24 stycznia od badacza bezpieczeństwa, Mattiasa Buelensa, a łata została opublikowana 4 lutego. Firma potwierdziła informację, że nieznani hakerzy aktywnie wykorzystują już lukę CVE-2021-21148.
Według artykułu opublikowanego w serwisie ZDnet luka może mieć związek z niedawnymi atakami hakerskimi prowadzonymi z Korei Północnej, które były wymierzone w społeczność ekspertów od cyberbezpieczeństwa — charakterystyka ataku wykazuje uderzające podobieństwo do sposobu wykorzystania luki CVE-2021-21148. Ponadto odkrycie luki nastąpiło wtedy, gdy wykryto ataki na ekspertów. Nie mamy jednak bezpośredniego potwierdzenia tej teorii.
Jak zwykle firma Google wstrzymuje się z ujawnieniem szczegółów technicznych, aż najbardziej aktywni użytkownicy przeglądarki Chrome zaktualizują swoją przeglądarkę. To zrozumiałe — nieodpowiedzialne ujawnienie luki może prowadzić do szybkiego wzrostu liczby ataków.
Jak nie dać się zainfekować
- Niezwłocznie zaktualizuj na swoim komputerze przeglądarkę Google Chrome. W tym celu kliknij przycisk z trzema kropkami znajdujący się w prawym górnym rogu okna przeglądarki i wybierz Ustawienia → Chrome — informacje. Po otwarciu strony przeglądarka zacznie aktualizować się automatycznie.
- Jeśli to konieczne, uruchom przeglądarkę ponownie, aby zastosować zmiany. Nie zwlekaj i nie bój się, że utracisz otwarte zakładki; aktualne wersje Chrome’a automatycznie przywracają zakładki po uruchomieniu ponownym lub w przypadku nieoczekiwanego zamknięcia.
- Jeśli według strony Chrome — informacje korzystasz już z wersji 88.0.4324.150, oznacza to, że przeglądarka jest aktualna, a Ty nie musisz się martwić luką CVE-2021-21148.