1. Блог/
  2. Новости/
  3. Обновление браузера Google Chrome для исправления критических ошибок безопасности

Обновление браузера Google Chrome для исправления критических ошибок безопасности

Обновление браузера Google Chrome для исправления критических ошибок безопасности

Компания Google выпустила срочное обновление программного обеспечения для улучшения безопасности своего веб-браузера Chrome и настоятельно призывает пользователей Windows, Mac и Linux немедленно обновить приложение до последней доступной версии.

Начатая в эту среду для пользователей по всему миру, версия Chrome 77.0.3865.90 содержит исправления безопасности для 1 критической и 3-х высокорисковых уязвимостей безопасности, наиболее серьезные из которых могут позволить удаленным хакерам взять под контроль поврежденную систему.

Компания Google решила сохранить в секрете все четыре уязвимости в течение еще нескольких дней, чтобы предотвратить их использование хакерами и дать пользователям достаточно времени для установки обновления Chrome.

На данный момент команда безопасности Chrome обнаружила только то, что все четыре уязвимости не используются — после устранения проблем в различных компонентах веб-браузера, как уже упоминалось ниже, что может привести к атакам на удаленное выполнение кода.

Бесплатная уязвимость после использования — это класс повреждений памяти, который допускает повреждение или изменение данных в памяти, позволяя непривилегированным пользователям повышать привилегии в системе или программном обеспечении, подверженных повреждениям.

Уязвимости, исправленные хромом 77.0.3865.90

  • Использование после освобождения в пользовательском интерфейсе (CVE-2019-13685) — Отчет Халила Жани
  • Использование после освобождения в средствах массовой информации (CVE-2019-13688) — Сообщено исследовательской группой Man Yue Mo из Semmle Security
  • Использование после освобождения в средствах массовой информации (CVE-2019-13687) — Сообщено исследовательской группой Man Yue Mo из Semmle Security
  • Бесплатное использование в автономном режиме (CVE-2019-13686) — Отчет Брендона Тиски

Компания Google выплатила в общей сложности $40 000 в качестве вознаграждения компании Man Yue Mo of Semmle за обе уязвимости — $20 000 за CVE-2019-13687 и $20 000 за CVE-2019-13688, а багов за оставшиеся две еще предстоит определить.

Успешное использование этих уязвимостей может позволить злоумышленнику выполнить произвольный код в контексте браузера, убедив жертву просто открыть или перенаправить ее на специально созданную веб-страницу в браузере Chrome, не требуя дополнительного взаимодействия.

На основании предыдущих раскрытий, использование после устранения дефектов может также привести к раскрытию конфиденциальной информации, обходу ограничений безопасности, несанкционированным действиям и вызвать отказ в обслуживании — в зависимости от привилегий, связанных с приложением.

Хотя Google Chrome автоматически уведомляет пользователей о последней доступной версии, рекомендуется вручную запустить процесс обновления, перейдя в меню «Справка → О Google Chrome».

Кроме того, вам также рекомендуется запускать все программное обеспечение на ваших системах, когда это возможно, в качестве непривилегированного пользователя, чтобы уменьшить последствия успешных атак с использованием уязвимости нулевого дня.

Чтобы обезопасить себя от киберпреступности и сохранить свои конфиденциальные данные в безопасности — используйте RusVPN на своих устройствах уже сейчас!