Оновлення Chrome 92, яке випустила цього тижня компанія Google, виправляє десять уразливостей, зокрема кілька серйозних недоліків.
Так, дослідники Лікрасо та Гуан Гун з команди 360 Alpha Lab фірми з кібербезпеки Qihoo 360 заробили 20 000 доларів США за знайдену уразливість високого рівня небезпеки, яка відстежується як CVE-2021-30590, пише SecurityWeek.
Google описав проблему як переповнення cтеку в “Закладках”. Лікрасо розповів, що CVE-2021-30590 – це уразливість у “пісочниці”, яка може “використовуватися в поєднанні з розширенням або скомпрометованим рендерером”. Зловмисник може використати цю помилку для віддаленого виконання коду поза “пісочницею” Chrome.
Високий рейтинг небезпеки також присвоєно двом уразливостям, про які повідомив дослідник Девід Ерсег. Уразливість CVE-2021-30592, описана компанією Google як проблема запису поза межами в групах вкладок, принесла йому 10 000 доларів США, тоді як CVE-2021-30593, описана як помилка читання поза межами у рядку вкладок, принесла винагороду в розмірі 5000 доларів США.
“CVE-2021-30592 потребує встановлення шкідливого розширення,- сказав Ерсег . – Оскільки уразливість включає запис поза межами, її потенційно можна використати для виходу з пісочниці браузера. І його використання не вимагатиме нічого, крім дозволу користувача, щоб встановити розширення”.
Ще одна серйозна вразливість, за яку Google виплатила 20 000 доларів,- це CVE-2021-30591, помилка типу use-after-free API файлової системи. Це слабке місце було виявлено дослідником SorryMybad з Kunlun Lab.
Варто зауважити, що Google виплачує до 20 000 доларів США за уразливі місця, що використовуються для виходу з “пісочниці” Chrome, описані у детальному звіті. Дослідники можуть заробити до 30 000 доларів США на таких недоліках, якщо вони також забезпечать функціональний підхід.
Важливо, щоб користувачі оновлювали Chrome якнайшвидше, враховуючи, що веб -браузер, як видається, стає ціллю для все більшої кількості атак. Цього року Google виправив понад півдюжини активно використовуваних вразливостей “нульового дня”.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
В Україні користувачів Android та iOS атакує небезпечне шкідливе ПЗ
Як перевірити шкідливий чи безпечний сайт? – ПОРАДИ
Як змусити AirPods повідомляти про дзвінки та сповіщення на iPhone? – ІНСТРУКЦІЯ
Як перевірити, які програми на iPhone Ви використовуєте найчастіше? – ІНСТРУКЦІЯ
До речі, користувачі ніколи не зможуть встановити Windows 11 на несумісні пристрої. Групова політика не дозволить Вам обійти обмеження апаратного забезпечення для установки Windows 11.
Apple має намір додати підтримку системи розпізнавання осіб Face ID на комп’ютери Mac протягом наступних двох років. Про це повідомив оглядач Bloomberg.
Зловмисники все частіше використовують безкоштовний месенджер Discord як канал для поширення шкідливих програм.
Окрім цього, стало відомо про великий витік даних учасників Clubhouse. Провідний експерт з кібербезпеки Джіт Джайн повідомив, що повна база телефонних номерів Clubhouse виставлена на продаж в Darknet.
Також стало відомо, що операційна система Windows 11, яка ще офіційно не вийшла, але вже доступна для скачування і попереднього знайомства, використовується зловмисниками, які намагаються підсунути користувачеві шкідливе ПЗ під виглядом нової ОС.
