Evo nas opet. Po drugi put u tri meseca, američka vlada je upozorila da je poznato da je najpopularniji pretraživač na svetu napadnut.
Federalni službenici imaju samo 21 dan da ažuriraju svoje pretraživače ili potpuno prestanu da ih koriste. S obzirom na više od dve milijarde korisnika računara Chrome-a, to je velika stvar i trebalo bi da se odnosi na sve korisnike.
Prema američkoj agenciji za sajber bezbednost, CVE-2024-7971 „sadrži ranjivost u vidu konfuzije koja omogućava udaljenom napadaču da iskoristi oštećenje gomile preko napravljene HTML stranice.“ To znači da napadač može prisiliti grešku logičke memorije da destabilizuje sistem, otvarajući vrata napadu.
CISA takođe savetuje da bi Chromium ranjivost „mogla da utiče na druge web pregledače, uključujući „Google Chrome, Microsoft Edge i Opera“. Ako koristite bilo koji Chromium pregledač.
CISA-i je trebalo više vremena da doda ovaj poznati eksploat u svoj KEV katalog nego što se očekivalo. Prošlo je skoro nedelju dana otkako je Google upozorio da „eksploati za CVE-2024-7971 postoje u divljini“, ažurirajući stabilni kanal za desktop računare na 128.0.6613.84/.85 za Vindovs i Mac. Očekivao sam da će se ovo dodati ranije.
Ako vam je sada bio potreban još jedan razlog za ažuriranje, ne tražite dalje od gadnog iznenađenja koje je iznenada dodato prošlonedeljnom savetu. Google je ažurirao obaveštenje 26. avgusta „kako bi odrazilo eksploataciju CVE-2024-7965 u divljini koja je prijavljena nakon ovog izdanja“. Ova druga iskorišćena ranjivost je navedena kao „neprikladna implementacija u V8“, što znači potencijal za napad da se postigne van granica (neočekivanog) pristupa memoriji, opet sa zlonamerno kreiranom web stranicom.
CISA je dodala samo prvu ranjivost u svoj katalog - ali je prilično izvesno da će druga uskoro uslediti. Sada je obavezno za sve federalne zaposlene da „primenjuju ublažavanja prema uputstvima dobavljača ili prestanu da koriste proizvod ako ublažavanja nisu dostupna“. što znači ažuriranje ili prestanak korišćenja. A krajnji datum je uobičajenih 21 dan od. izdanje, koje je 16. septembra.
Ovo je bio naporan mesec za takva upozorenja, sa višestrukim nultim danima za Windows i nultim danom za Android koji su se pojavili u roku od malog broja nedelja. Kako sama CISA kaže, svrha kataloga i ovih rokova je „da pomognu svakoj organizaciji da bolje upravlja ranjivostima i drži korak sa aktivnostima pretnji“.
Svi takvi Chrome nulti dani uspešno iskorišćavaju različite vrste memorijskih ranjivosti, ali dobra vest je da Google radi na širem skupu odbrana kako bi sprečio da se ovo dešava tako često.
Ažuriranje vašeg pretraživača na najnoviju stabilnu verziju će zakrpiti probleme i višestruke druge greške, od kojih su neke vrlo ozbiljne, čak i ako još uvek nisu eksploatisane u divljini. Ažuriranje bi trebalo da se preuzme automatski, ali ponovo pokrenite pregledač kada se to uradi da biste bili sigurni da se instalira.