Обновление браузера Google Chrome для исправления критических ошибок безопасности

Обновление браузера Google Chrome для исправления критических ошибок безопасности

Компания Google выпустила срочное обновление программного обеспечения для улучшения безопасности своего веб-браузера Chrome и настоятельно призывает пользователей Windows, Mac и Linux немедленно обновить приложение до последней доступной версии.

Начатая в эту среду для пользователей по всему миру, версия Chrome 77.0.3865.90 содержит исправления безопасности для 1 критической и 3-х высокорисковых уязвимостей безопасности, наиболее серьезные из которых могут позволить удаленным хакерам взять под контроль поврежденную систему.

Компания Google решила сохранить в секрете все четыре уязвимости в течение еще нескольких дней, чтобы предотвратить их использование хакерами и дать пользователям достаточно времени для установки обновления Chrome.

На данный момент команда безопасности Chrome обнаружила только то, что все четыре уязвимости не используются — после устранения проблем в различных компонентах веб-браузера, как уже упоминалось ниже, что может привести к атакам на удаленное выполнение кода.

Бесплатная уязвимость после использования — это класс повреждений памяти, который допускает повреждение или изменение данных в памяти, позволяя непривилегированным пользователям повышать привилегии в системе или программном обеспечении, подверженных повреждениям.

Уязвимости, исправленные хромом 77.0.3865.90

  • Использование после освобождения в пользовательском интерфейсе (CVE-2019-13685) — Отчет Халила Жани
  • Использование после освобождения в средствах массовой информации (CVE-2019-13688) — Сообщено исследовательской группой Man Yue Mo из Semmle Security
  • Использование после освобождения в средствах массовой информации (CVE-2019-13687) — Сообщено исследовательской группой Man Yue Mo из Semmle Security
  • Бесплатное использование в автономном режиме (CVE-2019-13686) — Отчет Брендона Тиски

Компания Google выплатила в общей сложности $40 000 в качестве вознаграждения компании Man Yue Mo of Semmle за обе уязвимости — $20 000 за CVE-2019-13687 и $20 000 за CVE-2019-13688, а багов за оставшиеся две еще предстоит определить.

Успешное использование этих уязвимостей может позволить злоумышленнику выполнить произвольный код в контексте браузера, убедив жертву просто открыть или перенаправить ее на специально созданную веб-страницу в браузере Chrome, не требуя дополнительного взаимодействия.

На основании предыдущих раскрытий, использование после устранения дефектов может также привести к раскрытию конфиденциальной информации, обходу ограничений безопасности, несанкционированным действиям и вызвать отказ в обслуживании — в зависимости от привилегий, связанных с приложением.

Хотя Google Chrome автоматически уведомляет пользователей о последней доступной версии, рекомендуется вручную запустить процесс обновления, перейдя в меню «Справка → О Google Chrome».

Кроме того, вам также рекомендуется запускать все программное обеспечение на ваших системах, когда это возможно, в качестве непривилегированного пользователя, чтобы уменьшить последствия успешных атак с использованием уязвимости нулевого дня.

Чтобы обезопасить себя от киберпреступности и сохранить свои конфиденциальные данные в безопасности — используйте RusVPN на своих устройствах уже сейчас!