Миллиарды пользователей браузера Chrome в опасности: как защититься от хакерской атаки

Миллиарды пользователей версии Chrome для настольных компьютеров оказались под угрозой. Браузер оказался уязвим перед хакерскими атаками, но этому можно противостоять, пишет Forbes.

Компания Google в течение недели зафиксировала три активно эксплуатируемые уязвимости — в результате Chrome находится под атакой. Издание предупреждает, что не стоит ждать, когда браузер обновится автоматически, и рекомендует пользователям установить обновления незамедлительно. Чтобы убедиться, что обновление установлено, следует закрыть и перезапустить Chrome. Стоит учитывать, что первые две уязвимости могут затронуть несколько веб-браузеров, использующих Chromium, — Google Chrome, Microsoft Edge и Opera.

Первое предупреждение Chrome "обновить сейчас" появилось 9 мая, когда Google предупредил, что знает о существовании уязвимости CVE-2024-4947. Она заключалась в проблеме использования после освобождения, когда указатели на освобожденную память не удаляются и поэтому ими можно злоупотреблять. Злоумышленники могут использовать UAF для передачи произвольного кода (или ссылки на него) в программу и перейти к началу кода с помощью "висячего" указателя. Таким образом, выполнение вредоносного кода может позволить киберпреступнику получить контроль над системой жертвы.

13 мая именно уязвимость под номером CVE-2024-4761 заставила Google предупредить об угрозе. На этот раз это была выходящая за пределы уязвимость памяти, затрагивающая Javascript-движок Chrome V8. Проблемы такого типа позволяют злоумышленнику атаковать Chrome с помощью вредоносных HTML-страниц. Такая уязвимость может привести к раскрытию конфиденциальной информации, а также к риску сбоя системы или программного обеспечения, который может позволить злоумышленнику получить доступ к этим данным.

15 мая Google предупредила, что уязвимость CVE-2024-4947 привел к еще одной проблеме с памятью — уязвимости "путаница типов", подвергающей пользователей атаке с помощью созданной HTML-страницы. Путаница типов возникает, когда программное обеспечение пытается получить доступ к несовместимым ресурсам в обход системы безопасности.

Все эти уязвимости могут дестабилизировать браузер или устройство, но также могут быть использованы для запуска других эксплойтов.

Все три уязвимости уже добавлены в CISA — каталог известных эксплуатируемых уязвимостей (KEV) Агентства кибербезопасности и безопасности инфраструктуры США. Агентство должно до 3, 6 и 10 июня соответственно принять меры по смягчению последствий в соответствии с инструкциями разработчика.

Ранее мы писали, что опасная программа-троян Brokewell может украсть все данные и деньги. Brokewell маскируется под легитимное приложение и предлагает обновить браузер Chrome для Android, но вместо этого проникает на устройство и собирает ценную информацию.