Мільярди користувачів браузера Chrome у небезпеці: як захиститися від хакерської атаки

Мільярди користувачів версії Chrome для настільних комп'ютерів опинилися під загрозою. Браузер виявився вразливим перед хакерськими атаками, але цьому можна протистояти, пише Forbes.

Компанія Google протягом тижня зафіксувала три уразливості, які активно експлуатуються, — у результаті Chrome перебуває під атакою. Видання попереджає, що не варто чекати, коли браузер оновиться автоматично, і рекомендує користувачам встановити оновлення негайно. Щоб переконатися, що оновлення встановлено, слід закрити і перезапустити Chrome. Варто враховувати, що перші дві уразливості можуть зачепити кілька веббраузерів, що використовують Chromium, — Google Chrome, Microsoft Edge і Opera.

Перше попередження Chrome "оновити зараз" з'явилося 9 травня, коли Google попередив, що знає про існування уразливості CVE-2024-4947. Вона полягала в проблемі використання після звільнення, коли покажчики на звільнену пам'ять не видаляються і тому ними можна зловживати. Зловмисники можуть використати UAF для передавання довільного коду (або посилання на нього) у програму і перейти до початку коду за допомогою "висячого" покажчика. Таким чином, виконання шкідливого коду може дозволити кіберзлочинцю отримати контроль над системою жертви.

13 травня саме уразливість під номером CVE-2024-4761 змусила Google попередити про загрозу. Цього разу це була уразливість пам'яті, що виходить за межі, яка зачіпає Javascript-движок Chrome V8. Проблеми такого типу дають змогу зловмиснику атакувати Chrome за допомогою шкідливих HTML-сторінок. Така уразливість може призвести до розкриття конфіденційної інформації, а також до ризику збою системи або програмного забезпечення, який може дати змогу зловмиснику отримати доступ до цих даних.

15 травня Google попередила, що уразливість CVE-2024-4947 призвела до ще однієї проблеми з пам'яттю — уразливості "плутанина типів", що піддає користувачів атаці за допомогою створеної HTML-сторінки. Плутанина типів виникає, коли програмне забезпечення намагається отримати доступ до несумісних ресурсів в обхід системи безпеки.

Усі ці уразливості можуть дестабілізувати браузер або пристрій, але також можуть бути використані для запуску інших експлойтів.

Усі три уразливості вже додано до CISA — каталогу відомих експлуатованих уразливостей (KEV) Агентства кібербезпеки та безпеки інфраструктури США. Агентство має до 3, 6 і 10 червня відповідно вжити заходів щодо пом'якшення наслідків відповідно до інструкцій розробника.

Раніше ми писали, що небезпечна програма-троян Brokewell може вкрасти всі дані та гроші. Brokewell маскується під легітимний додаток і пропонує оновити браузер Chrome для Android, але замість цього проникає на пристрій і збирає цінну інформацію.