Η Google κυκλοφόρησε ένα έκτακτο security update για την έκδοση desktop του Chrome web browser, αντιμετωπίζοντας την όγδοη εκμεταλλεύσιμη ευπάθεια zero-day της φετινής χρονιάς.
Το ελάττωμα υψηλής σοβαρότητας, που ανακαλύφθηκε από τον Clement Lecigne της ομάδας ανάλυσης απειλών της Google στις 22 Νοεμβρίου 2022, εντοπίζεται ως CVE-2022-4135 και είναι ένα heap buffer overflow στην GPU.
“Γνωρίζουμε ότι κυκλοφορεί ένα exploit για το CVE-2022-4135”, αναφέρει η ειδοποίηση ενημέρωσης από την Google.
Προκειμένου να δώσει χρόνο στους χρήστες να ενημερώσουν τις εγκαταστάσεις του Chrome, η Google δεν έχει δημοσιεύσει λεπτομέρειες σχετικά με την ευπάθεια. Αυτό γίνεται με την ελπίδα να αποτραπεί η περαιτέρω εκμετάλλευση από εγκληματίες.
Ένα heap buffer overflow συμβαίνει γενικά όταν δεδομένα εγγράφονται σε θέσεις μνήμης εκτός ορίου χωρίς επαλήθευση, συνήθως επειδή η γειτονική θέση μνήμης ήταν ήδη γεμάτη.
Τα heap buffer overflow μπορούν να επιτρέψουν σε έναν εισβολέα να αντικαταστήσει τη μνήμη μιας εφαρμογής, η οποία μπορεί στη συνέχεια να χρησιμοποιηθεί για να χειραγωγήσει τη διαδρομή εκτέλεσης και να αποκτήσει πρόσβαση σε ευαίσθητες πληροφορίες ή να εκτελέσει κώδικα.
- Η αναβάθμιση στις τελευταίες εκδόσεις του Chrome (107.0.5304.121/122 για Windows και 107.0.5304.122 για Linux και Mac) θα σας προστατεύσει από τις προσπάθειες εκμετάλλευσης του CVE-2022-4135.
Για να ενημερώσετε τον Chrome, μεταβείτε στο Settings → About Chrome → Wait (να ολοκληρωθεί η λήψη της πιο πρόσφατης έκδοσης) → Restart το πρόγραμμα.
Η όγδοη διόρθωση zero-day του Chrome το 2022
Η έκδοση 107.0.5304.121/122 του Chrome που κυκλοφόρησε πρόσφατα διορθώνει την όγδοη ευπάθεια zero-day που έχει γίνει αντικείμενο εκμετάλλευσης την φετινή χρονιά, γεγονός που αποτελεί σαφή ένδειξη του πόσο πολύ ενδιαφέρονται οι επιτιθέμενοι να στοχεύσουν το ευρέως χρησιμοποιούμενο πρόγραμμα περιήγησης.
Οι προηγούμενες επτά διορθώσεις zero-day είναι:
- CVE-2022-3723 – 28 Οκτώβρη
- CVE-2022-3075 – 2 Σεπτεμβρίου
- CVE-2022-2856 – 17 Αυγούστου
- CVE-2022-2294 – 4 Ιουλίου
- CVE-2022-1364 – 14 Απριλίου
- CVE-2022-1096 – 25 Μαρτίου
- CVE-2022-0609 – 14 Φεβρουαρίου
Ευπάθειες όπως αυτές χρησιμοποιούνται συνήθως από εγκληματίες του κυβερνοχώρου σε επιθέσεις που σχεδιάζονται και εκτελούνται προσεκτικά.
Παρόλα αυτά, όλοι οι χρήστες του Chrome θα πρέπει να ενημερώσουν αμέσως το πρόγραμμα περιήγησής τους για να προστατευτούν από πιθανές επιθέσεις.
Τα ελαττώματα zero-day αποτελούν σοβαρή απειλή όσον αφορά τη διατήρηση της ασφάλειας των δεδομένων σας στο διαδίκτυο. Ευτυχώς, υπάρχουν μέτρα που μπορείτε να λάβετε για να προστατευτείτε από αυτές τις ευπάθειες, όπως η ενημέρωση του λογισμικού σας, η εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων και η εκτέλεση τακτικών σαρώσεων ασφαλείας. Λαμβάνοντας αυτά τα μέτρα, μπορείτε να διασφαλίσετε ότι τα δεδομένα σας παραμένουν ασφαλή και προστατευμένα από τις πιθανές απειλές που δημιουργούν τα ελαττώματα zero-day.
