Цього тижня Google випустила чергове оновлення браузера Chrome, завдання якому усунула ще одну серйозну уразливість в JavaScript-движку V8.
За останні місяці для Chrome вже стали звичними часті патчі, оскільки “дірки” у безпеці інтернет-браузера знаходять доволі часто.
Нова уразливість отримала ідентифікатор CVE-2021-21227 і високу міру небезпеки. Про проблему Google повідомив дослідник з китайської компанії Singular Security Lab Геньмінь Лью, пише Security Week.
Як наслідок інтернет-гігант виплатив фахівцеві $15 000 і описав виявлену уразливість як “недостатню валідацію даних в V8”.
Як пояснив Лью, потенційний хакер може задіяти баг для віддаленого виконання коду в браузері цільового користувача. Експерт також підкреслив, що у даному випадку зловмисник не зможе просто так вийти за межі вбудованої в Chrome пісочниці.
Лью провів паралель між свіжою уразливістю і раніше виявленими CVE-2020-16040 (пропатчили в грудні 2020 року) і CVE-2020-15965 (пропатчили у вересні 2020 року). Ці баги теж зачіпають движок V8 і мають високу ступінь ризику для кінцевого користувача.
Нагадаємо, що минулого тижня вийшла збірка Google Chrome під номером 90.0.4430.85. З її релізом розробники усунули небезпечну 0-day уразливість, яку зловмисники експлуатували в реальних атаках.
А двома тижнями раніше фахівець у галузі кібербезпеки виклав у Twitter експлойт для другої 0-day в Chrome і Edge за тиждень.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як увімкнути записування відео HDR на iPhone? ІНСТРУКЦІЯ
Онлайн-шопінг у соцмережах: як не бути ошуканим?
Як таємно спілкуватися у месенджері Telegram на iOS та Android? ІНСТРУКЦІЯ
Як правильно вибрати ноутбук? ПОРАДИ
Як безкоштовно надсилати захищені паролем електронні листи? ПОРАДИ
Нагадаємо, дослідники безпеки опублікували в Мережі PoC-експлойт для запуску шкідливого коду в Chrome, Edge, Vivaldi, Opera і інших браузерах на базі Chromium. Уразливість зачіпає JavaScript-движок V8 і вже виправлена в його вихідному коді, але виправлення поки ще не інтегровано ні з кодовою базою Chromium, ні з заснованими на ньому проектами.
Також дослідники виявили безліч уразливостей в популярних додатках, що допускають виконання довільного коду в системах користувачів всього лише за допомогою одного кліка. Саме тому такі баги отримали неформальне ім’я “уразливості одного кліка” (one-click vulnerabilities).
Розробники WhatsApp усунули дві небезпечні уразливості в Android-версії месенджера. Якщо зловмисник задіє ці дві уразливості в атаці, у нього з’явиться можливість виконати шкідливий код і віддалено зламати мобільний пристрій жертви.
Окрім цього, кіберзлочинці атакують уразливі сервери Microsoft Exchange з метою встановлення програмного забезпечення для майнінгу криптовалют у рамках шкідливої кампанії, спрямованої на використання обчислювальних потужностей скомпрометованих систем для заробітку.
