Populaarse veebibrauseri ohtlik turvaauk sai just lapitud ning nagu sel puhul ikka, soovitatakse ka nüüd oma brauserit kohe uuendada.
Google avaldas hiljuti Google Chrome´i 124. versiooni uuenduse. See värskendus sisaldab parandusi neljale turvanõrkusele, millest üks on tunnistatud kriitiliseks ja see tähendab, et kõik, kellel veebilehitseja pole ise automaatselt veel olulist uuendust teinud, võiksid selle Help menüüst käsitsi käivitada, enne kui hilja.
See kriitiline haavatavus nimega CVE-2024-4058 on seotud tüübisegaduse veaga ANGLE graafikamootoris ning on eriline veel ka sellepärast, et avastati vabatahtliku poolt, kes reageeris Google´i üleskutsele turvaaukudest teada anda. tarkvarahiiglane nimelt premeerib eriti kriitiliste vigade avastamise eest rahaliselt ning andiski avastajale välja 16 000 dollarit.
Kuna see viga, mille preemia saaja leidis, on hinnatud kõige rängema ehk “kriitilise” tasemega, võib haavatavust potentsiaalselt kahjulikult ära kasutada suvalise koodi täitmiseks arvutis kasutaja sekkumiseta.
Viimastel aastatel on vaid väga vähestele Chrome’i turvanõrkustele omistatud “kriitiline” tase.
Google tunnustas CVE-2024-4058 avastamise eest kahte Qrious Secure’i grupi liiget. Qrious Secure kirjeldab end kui “kogenud häkkerite gruppi, kellele ei paku miski nii suurt lõbu kui haavatavuste avastamine ja nende enda lõbuks ja kasuks ära kasutamine”.
Grupp on teatanud Google’ile veel vähemalt kahest teisest Chrome’i haavatavusest – CVE-2024-0517, mis võimaldab suvalise koodi täitmist, ja CVE-2024-0223, mis annab ründajatele olenevalt asjaoludest potentsiaalselt isegi GPU õigused. Mõlemad haavatavused parandati Google´i poolt selle aasta alguses.
Google pole avaldanud, kas CVE-2024-4058 ohtu on kuskil juba ära kasutatud. Siiski nendib Chrome´i brauseri looja ja arendaja, et tüübisegaduse vigu kasutatakse ära tihti, mis tavaliselt mõjutab V8 JavaScripti mootorit.
Chrome’i uusim värskendus parandab ka veel kaks suure riskiga haavatavust, mille eest pole preemiaid määratud: CVE-2024-4059 (piiridest väljas mälu lugemine V8 API-s) ja CVE-2024-4060 (kasutamine-pärast-vabastamist turvaoht Dawni komponendis).
Mida teha?
Kui kasutad Google Chrome’i brauserit, on tungivalt soovitatav koheselt installida viimane turvavärskendus. Selleks ava Chrome, klõpsa kolmel vertikaalsel punktil ülemises paremas nurgas, liigu menüüs “Abi” juurde ja vali “Google Chrome’i info”. Chrome kontrollib automaatselt värskendusi ja installib kohe, kui need on saadaval.
