Mitä sinun tarvitsee tietää
- Google Chrome on päivitetty ratkaisemaan kriittinen nollapäivän haavoittuvuus.
- Virhe vaikuttaa selaimen WebRTC-pinoon, joka on hyökkäyksen kohteena.
- Korjauksen pitäisi olla kaikkien käyttäjien saatavilla lähiviikkoina.
Google on julkaissut korjaustiedoston, joka korjaa nollapäivän haavoittuvuuden Chromen reaaliaikaisten viestintäominaisuuksien osassa. Hakujättiläinen varoittaa käyttäjiä, että sitä hyödynnetään jo luonnossa.
The uusin Chrome-päivitys (versio 103.0.5060.114) Windowsille korjaa uhan, jonka nimi on CVE-2022-2294 (high-severity), joka Googlen mukaan on kriittinen tietoturvariski. Haavoittuvuus vaikuttaa selaimen WebRTC-toteutukseen, standardiin, jota käytetään video- ja puhesovelluksissa reaaliaikaiseen viestintään.
Google on varoittanut käyttäjiä, että virhe "olemassa luonnossa", mikä tarkoittaa, että hyökkääjät ovat saaneet jo hyödyntää sitä. Sen löysi ensimmäisenä Jan Vojtesek Avast Threat Intelligence -tiimistä 1. heinäkuuta.
"Google on tietoinen siitä, että CVE-2022-2294:n hyväksikäyttö on olemassa luonnossa", yhtiö sanoi tiedotteessaan.
Korjauksen on määrä tulla Chrome-käyttäjien saataville Windows- ja macOS-järjestelmissä lähiviikkojen aikana. A korjaustiedosto on julkaistu myös Chromelle varten Android-puhelimet (versio 103.0.5060.71).
Google ei ole jakanut tietoja haavoittuvuudesta ennen kuin korjaus on saavuttanut suurimman osan käyttäjistä.
Haavoittuvuus voi johtaa ohjelmien kaatumisiin ja mielivaltaisen koodin suorittamiseen Piikuva tietokone. Mikä pahempaa, hyökkääjät voivat ohittaa tietoturvaohjelmiston, jos koodi on jo suoritettu.
Uusi korjaustiedosto on Googlen neljäs Chromen nollapäiväkorjaus tänä vuonna. Helmikuussa, maaliskuussa ja huhtikuussa yhtiö julkaisi erilliset korjaustiedostot erilaisille haavoittuvuuksille, joista joitain Pohjois-Korean tukemat valtion hakkerit käyttivät hyväkseen.