Két sebből is vérzik: azonnal frissítse a Chrome böngészőt

A Google ugyanis kiadta a népszerű Chrome 78.0.3904.87-es számú verzióját, mellyel két igen komoly, és aktívan kihasznált biztonsági hibát javítanak, írja a The Hacker News alapján a G Data. A hibák részletezése nélkül a Google csak annyit osztott meg egy blogbejegyzésében, hogy azok use-after-free sérülékenységeket használnak ki. Az egyik a Chrome audio összetevőjét érinti, míg a másikat a FDFium könyvtárban fedezték fel.

A use-after-free sérülékenység a memóriát érintő hiba, mely lehetővé teszi a memóriában lévő adat módosítását, ezzel pedig az arra nem jogosult felhasználónak is magasabb szintű jogosultságokat tudnak biztosítani.

A támadók tehát magasabb fokú felhasználói jogosultságokat szerezhetnek

a Chrome böngészőben csupán azáltal, hogy egy fertőzött weboldal látogatására veszik rá a felhasználót.

Nem elméleti problémáról van szó

A támadást már használják a mindennapokban, egy koreai hírportált fertőztek meg a bűnözők, így azok a látogatók, akik sebezhető Chrome böngészővel olvasták az oldalról a híreket, maguk is megfertőződtek.

A hibát a 78.0.3904.87-es (vagy magasabb) verziójú Chrome telepítésével lehet kiküszöbölni.

A böngésző általában automatikusan értesíti a felhasználókat, hogy új verzió érhető el, de akinél ez nem jelenne meg, az a Chrome/About Google Chrome vagy Help/About Google Chrome menüpontnál indíthatja el a frissítési folyamatot.

Hogy pontosan mely hackercsoport követte el a támadást, még nem tudni, de a használt kód alapján a Lazarus csoportra gyanakodnak.

Idén már két use-after-free sérülékenységet is felfedeztek a Chrome böngészőben, szeptember elején négy hasonló sérülékenységet javítottak (közülük egyik a teljes rendszer távoli átvételét tette lehetővé).

Borítókép: Shutterstock