уязвимости
Компания Google выпустила экстренное обновление браузера Chrome, закрывающее три уязвимости: CVE-2021-37974, CVE-2021-37975 и CVE-2021-37976. Одна из уязвимостей имеет критический уровень опасности, две другие — высокий.
Что еще хуже — по сведениям Google две из трех этих уязвимостей уже эксплуатируются злоумышленниками. Поэтому всем пользователям браузера рекомендуется незамедлительно обновиться до версии 94.0.4606.71. Уязвимости также актуальны и для других браузеров, построенных на базе движка Chromium. Например, Microsoft рекомендует обновить Edge до версии 94.0.992.38.
Подробнее об уязвимостях в Google Chrome
CVE-2021-37974 и CVE-2021-37975 относятся к классу use-after-free (UAF), то есть эксплуатируют некорректное использование динамической памяти и в результате позволяют выполнять произвольный код на компьютере.
Первая из них, CVE-2021-37974, связана с компонентом безопасного браузинга (Safe Browsing) — встроенной в Chrome системы предупреждений о небезопасных сайтах и загрузках. Степень опасности этой уязвимости по системе CVSS v3.1 составляет 7,7 балла.
Вторая уязвимость, CVE-2021-37975, обнаружена в движке V8, который служит для исполнения JavaScript-сценариев. Она считается наиболее опасной из всех трех — 8,4 балла по CVSS v3.1, что соответствует критическому уровню риска. Именно ее уже активно используют неизвестные злоумышленники.
Причина третьей уязвимости, CVE-2021-37976, — выдача лишних данных ядром Google Chrome. Она чуть менее опасна — 7,2 балла по шкале CVSS v3.1., но при этом также уже используется злоумышленниками.
Как эти уязвимости могут быть проэксплуатированы
Эксплуатация всех трех уязвимостей подразумевает создание вредоносной страницы. То есть атакующим достаточно сделать сайт с эксплойтом и как-то заманить на него жертву. В результате эксплойты для двух уязвимостей типа use-after-free позволят выполнить произвольный код на компьютере зашедших на страницу пользователей, что может привести к компрометации их систем. Эксплойт для третьей уязвимости, CVE-2021-37976, позволит нападающим получить доступ к конфиденциальной информации жертвы.
Более подробную информацию об уязвимостях Google, вероятно, раскроет после того, как большинство пользователей обновит свои браузеры. В любом случае затягивать с обновлением не стоит — лучше сделать это как можно скорее.
Как оставаться в безопасности
Первым делом следует обновить браузеры на всех устройствах, с которых вы выходите в Интернет. Достаточно часто это происходит автоматически, при перезагрузке браузера, однако многие пользователи подолгу не перезапускают компьютер, так что их браузер может остаться уязвимым. В любом случае, будет нелишним проверить версию Chrome (меню управления и кастомизации -> Help -> About Google Chrome). Если у вас не последняя версия, то такая проверка автоматически запустит обновление.
Кроме того, мы рекомендуем пользователям установить защитные решения на всех устройствах, имеющих выход в Интернет. Даже если однажды злоумышленники поймают вас с не обновленным браузером, проактивные технологии защиты минимизируют возможность успешной эксплуатации уязвимостей.
Сотрудникам ИБ-отделов компаний, мы также рекомендуем использовать защитные решения на всех корпоративных устройствах, централизованно следить за выходом патчей и настроить автоматическую доставку обновлений на компьютеры сотрудников. Будет разумно приоритизировать установку обновлений браузеров.
Советы