Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru |
Три опасные уязвимости в Google Chrome | Блог Касперского
Google закрыла три уязвимости в Chrome. CVE-2021-37975 и CVE-2021-37976 уже эксплуатируются злоумышленниками, CVE-2021-37974 также весьма опасна.
Компания Google выпустила экстренное обновление браузера Chrome, закрывающее три уязвимости: CVE-2021-37974, CVE-2021-37975 и CVE-2021-37976. Одна из уязвимостей имеет критический уровень опасности, две другие — высокий.
Что еще хуже, по сведениям Google две из трех этих уязвимостей уже эксплуатируются злоумышленниками. Поэтому всем пользователям браузера рекомендуется незамедлительно обновиться до версии 94.0.4606.71. Уязвимости также актуальны и для других браузеров, построенных на базе движка Chromium — например Microsoft рекомендует обновить Edge до версии 94.0.992.38.
Подробнее об уязвимостях в Google Chrome
CVE-2021-37974 и CVE-2021-37975 относятся к классу use-after-free (UAF), то есть эксплуатируют некорректное использование динамической памяти и в результате позволяет выполнять произвольный код на компьютере.
Первая из них, CVE-2021-37974, связана с компонентом безопасного браузинга (Safe Browsing) — встроенной в Chrome системы предупреждений о небезопасных сайтах и загрузках. Степень опасности этой уязвимости по системе CVSS v3.1 составляет 7,7 баллов.
Вторая уязвимость, CVE-2021-37975, обнаружена в движке V8, который служит для исполнения JavaScript-сценариев, она считается наиболее опасной из всех трех — 8,4 по CVSS v3.1, что соответствует критическому уровню риска. Именно ее уже активно используют неизвестные злоумышленники.
Причина третьей уязвимости, CVE-2021-37976, — выдача лишних данных ядром Google Chrome. Она чуть менее опасна — 7.2 по шкале CVSS v3.1., но при этом также уже используется злоумышленниками.
Как эти уязвимости могут проэксплуатировать
Эксплуатация всех трех уязвимостей подразумевает создание вредоносной страницы. То есть атакующим достаточно сделать сайт с эксплойтом и как-то заманить на него жертву. В результате, эксплойты для двух уязвимостей типа use-after-free позволят выполнить произвольный код на компьютере зашедших на страницу пользователей, что может привести к компрометации их систем. Эксплойт для третьей уязвимости, CVE-2021-37976, позволит нападающим получить доступ к конфиденциальной информации жертвы.
Более подробную информацию об уязвимостях Google, вероятно, раскроет после того, как большинство пользователей обновит свои браузеры. В любом случае, затягивать с обновлением не стоит — лучше сделать это как можно скорее.
Как оставаться в безопасности
Первым делом следует обновить браузеры на всех устройствах, с которых вы выходите в интернет. Достаточно часто это происходит автоматически, при перезагрузке браузера, однако многие пользователи подолгу не перезапускают компьютер, так что их браузер может остаться уязвимым. В любом случае, будет нелишне проверить версию Chrome (меню управления и кастомизации -> Help -> About Google Chrome). Если у вас не последняя версия, то такая проверка автоматически запустит обновление.
Кроме того, мы рекомендуем пользователям установить защитные решения на всех устройствах, имеющих выход в интернет. Даже если однажды злоумышленники поймают вас с не обновленным браузером, проактивные технологии защиты минимизируют возможность успешной эксплуатации уязвимостей.
Сотрудникам ИБ-отделов компаний, мы также рекомендуем использовать защитные решения на всех корпоративных устройствах и централизованно следить за выходом патчей и настроить автоматическую доставку обновлений на компьютеры сотрудников. Будет разумно приоритизировать установку обновлений браузеров.
Источник: Лаборатория Касперского
02.10.2021