Η Google κυκλοφόρησε την έκδοση Chrome 100.0.4896.127, μια έκτακτη ενημέρωση για Windows, Mac και Linux, για τη διόρθωση ενός σοβαρού zero-day bug, που έχει ήδη αρχίσει να χρησιμοποιείται από εγκληματίες του κυβερνοχώρου.
“Η Google γνωρίζει ότι υπάρχει ένα exploit για την ευπάθεια CVE-2022-1364“, δήλωσε η εταιρεία στο security advisory που κυκλοφόρησε.
Δείτε επίσης: Apple update: Διόρθωση zero-day bugs που επηρεάζουν iPhone, Mac
Η Google είπε ότι αυτή η ενημέρωση του Chrome θα κυκλοφορήσει τις επόμενες εβδομάδες. Ωστόσο, οι χρήστες μπορούν να τη λάβουν αμέσως πηγαίνοντας στο μενού του Chrome > Βοήθεια > Σχετικά με το Google Chrome.
Επιπλέον, το πρόγραμμα περιήγησης ελέγχει αυτόματα για νέες ενημερώσεις. Επομένως, είναι πιθανό να τις εγκαταστήσει την επόμενη φορά που θα κλείσετε και θα επανεκκινήσετε το Google Chrome.
Η εταιρεία συμβουλεύει τους χρήστες να κάνουν άμεσα έναν μη αυτόματο έλεγχο για νέες ενημερώσεις και να προχωρήσουν σε επανεκκίνηση του προγράμματος περιήγησης για να τις εφαρμόσουν. Δεδομένου ότι η Chrome zero-day χρησιμοποιείται ήδη σε επιθέσεις, οι χρήστες πρέπει να εγκαταστήσουν τις ενημερώσεις το συντομότερο δυνατό.
Λίγα λόγια για τη νέα zero-day ευπάθεια
Το Chrome zero-day bug που διόρθωσε η Google είναι γνωστό ως CVE-2022-1364 και είναι ένα σοβαρό “type confusion weakness” στο Chrome V8 JavaScript engine.
Αυτού του είδους τα σφάλματα οδηγούν συνήθως σε browser crashes. Ωστόσο, οι επιτιθέμενοι μπορούν επίσης να τα χρησιμοποιήσουν για να εκτελέσουν κώδικα.
Η zero-day ευπάθεια ανακαλύφθηκε από τον ερευνητή Clément Lecigne από την Ομάδα Ανάλυσης απειλών της Google. Ο ερευνητής το εντόπισε και το ανέφερε στην ομάδα του Google Chrome.
Δείτε επίσης: Zero-day στο Java Spring επιτρέπει απομακρυσμένη εκτέλεση κώδικα
Η Google είπε ότι έχει εντοπίσει επιθέσεις που εκμεταλλεύονται την ευπάθεια, αλλά δεν έδωσε περισσότερες λεπτομέρειες για τους επιτιθέμενους ή τον τρόπο διεξαγωγής των επιθέσεων.
Η εταιρεία είπε ότι θα δώσει περισσότερες πληροφορίες για το σφάλμα και τον τρόπο εκμετάλλευσής του, όταν οι περισσότεροι χρήστες θα έχουν ενημερώσει το Google Chrome και θα είναι προστατευμένοι.
Η έκδοση Chrome 100.0.4896.127 διορθώνει αυτή την ευπάθεια μόνο, κάτι που δείχνει ότι προωθήθηκε ως ενημέρωση έκτακτης ανάγκης για την επίλυση αυτού του ζητήματος.
Οι zero-day ευπάθειες αποτελούν σημαντικό πρόβλημα για το Google Chrome από πέρυσι. Η εταιρεία έχει διορθώσει πολλά τέτοια bugs τον τελευταίο ενάμιση χρόνο. Στα τέλη του περασμένου μήνα, η Google διόρθωσε την ευπάθεια CVE-2022-1096, που ήταν επίσης ένα “type confusion weakness” που εντοπίζεται στο Chrome V8 JavaScript engine.
Δείτε επίσης: Μήνυση από την Google σε Puppy Scammer που στοχεύει καταναλωτές
Η Google διορθώνει την τρίτη Chome zero-day ευπάθεια για φέτος
Με την τωρινή ενημέρωση, η Google διορθώνει την τρίτη zero-day ευπάθεια για φέτος.
Οι δυο προηγούμενες ευπάθειες είναι η CVE-2022-1096, που αναφέραμε προηγουμένως, και η CVE-2022-0609 που διορθώθηκε στα μέσα Φεβρουαρίου.
Πηγή: Bleeping Computer