Google Chrome-ის განახლება ათ სახიფათო დაუცველობას აღმოფხვრის

Google-მა გამოუშვა განახლება 100.0.4896.60 ბრაუზერისთვისChrome, რომელიც აღმოფხვრის  28 დაუცველობას. მათგან სულ მცირე 9-ს აქვს მაღალი საფრთხის ნიშანი – გარდა CVE-2022-1096-ისა, რომელიც Google-მა ცალკე პატჩით დააყენა. მთლიანობაში, კომპანიამ გამოუშვა პატჩები 10 დაუცველობისთვის,High საშიშროების რეიტინგით ერთ კვირაზე ნაკლებ დროში, რაც მიუთითებს ბრაუზერის სასწრაფო განახლების აუცილებლობაზე. ამის შესახებიტყობინება „კასპერსკის ლაბორატორია“.

„მიუხედავად იმისა, რომ Google-ს არ გამოუქვეყნებია დეტალები არცერთი დაუცველობის შესახებ – კომპანიის უსაფრთხოების პოლიტიკის მიხედვით, პრობლემის დეტალურ აღწერაზე წვდომა დახურულია მანამ, სანამ აქტიური მომხმარებლების უმრავლესობა არ განაახლებს ბრაუზერს. მაგრამ უკვე ნათელია, რომ CVE-2022-1096 დაუცველობა, რომელიც Google-მა ცალკე პაჩით დახურა, ყველაზე დიდ შეშფოთებას იწვევს“, – აცხადებენ კომპანიის ექსპერტები.

მათი თქმით, CVE-2022-1096 მიეკუთვნება Type Confusion კლასს, ანუ ასოცირდება V8 ძრავში მონაცემთა ტიპების შეცდომასთან. ირიბად, გადაუდებელი პატჩის გაშვების ფაქტი მოწმობს მის საშიშროების ხარისხზე. გარდა ამისა, Google-მა იცოდა, რომ ამ დაუცველობის ექსპლუატაცია უკვე არსებობდა. Microsoft-მაც დახურა იგივე დაუცველობა თავის Chromium-ზე დაფუძნებულ Edge ბრაუზერში. ეს ყველაფერი შეიძლება ნიშნავს იმას, რომ დაუცველობისთვის ექსპლოიტი არა თუ არსებობს, არამედ აქტიურად გამოიყენება თავდამსხმელების მიერ.

28 დაუცველობიდან, რომლებსაც ბოლო განახლება ხურავს, უმეტესობა (20) აღმოაჩინეს  მესამე მხარის ექსპერტებმა, ხოლო დანარჩენი რვა — Google-ის შიდა სპეციალისტებმა. ცხრა ახალი Highდაუცველობიდან, ოთხი (CVE-2022-1125, CVE-2022-1127, CVE-2022-1131, CVE-2022-1133) მიეკუთვნება გამოყენების useafterfree კლასს; სამი (CVE-2022-1128, CVE-2022-1129 და CVE-2022-1132) დაკავშირებულია სხვადასხვა კომპონენტში შეუსაბამო რეალიზაციის (inappropriateimplementation) განხორციელებასთან; ერთიც (CVE-2022-1130) არის WebOTP-ში შემომავალი მონაცემების არასაკმარისი ვალიდაცია და კიდევ ერთი (CVE-2022-1134), ისევე როგორც ზემოხსენებული CVE-2022-1096, არის ხარვეზი მონაცემთა ტიპებში V8 ძრავში.

ექსპერტების აზრით, ამ მოწყვლადობისაგან თავის დასაცავად საჭიროა თქვენი ბრაუზერის განახლება უახლესი ვერსიით 100.0.4896.60. თქვენ უნდა შეამოწმოთ არის თუ არა Chrome-ის ვერსია განსხვავებული, მაშინ ბრაუზერი ავტომატურად არ განახლებულა და მას ხელით განახლება გჭირდებათ. თუ იყენებთ Microsoft Edge-ს, ასევე დაგჭირდებათ მისი განახლება. ასევე რეკომენდებულია კრიტიკული პროგრამების დროული განახლება, რომელიც მოიცავს უსაფრთხოების გადაწყვეტილებებს, ბრაუზერებს, საოფისე პაკეტებს და თავად ოპერაციულ სისტემას. გარდა ამისა, აუცილებელია უსაფრთხოების საიმედო გადაწყვეტილებების გამოყენება, რომლებსაც შეუძლიათ ავტომატურად აღმოაჩინონ და თავიდან აიცილონ დაუცველობათა ექსპლუატაციის მცდელობები,  რითაც იცავს თავდასხმებისგან ოფიციალურ პატჩების  გასვლამდეც კი.