Amit tudnod kell
- A Google Chrome frissítése megtörtént egy kritikus nulladik napi sebezhetőség kiküszöbölése érdekében.
- A hiba a böngésző WebRTC veremét érinti, amely támadás alatt áll.
- A javítás a következő hetekben minden felhasználó számára elérhető lesz.
A Google kiadott egy javítást a Chrome valós idejű kommunikációs képességeinek egyik összetevőjének nulladik napi sebezhetőségének megszüntetésére. A keresőóriás arra figyelmezteti a felhasználókat, hogy a vadonban már kihasználják.
A legújabb Chrome-frissítés (103.0.5060.114-es verzió) a Windows számára a CVE-2022-2294 (high-severity) fenyegetést kezeli, amely a Google szerint kritikus biztonsági kockázatot jelent. A biztonsági rés a WebRTC böngészőben való megvalósítását érinti, amely szabvány a video- és hangalkalmazásokban használatos a valós idejű kommunikációhoz.
A Google figyelmeztette a felhasználókat, hogy a hiba "vadon létezik", ami azt jelenti, hogy a támadók már ki is használták azt. Először Jan Vojtesek, az Avast Threat Intelligence csapatától fedezte fel július 1-jén.
"A Google tisztában van azzal, hogy a CVE-2022-2294 kizsákmányolása létezik a vadonban" - áll a vállalat közleményében.
A javítás a következő hetekben elérhető lesz a Chrome-felhasználók számára Windows és macOS rendszeren. A A javítás a Chrome-ra is megjelent számára Android telefonok (103.0.5060.71 verzió).
A Google nem közölt részleteket a sérülékenységről, amíg a javítás el nem éri a felhasználók többségét.
A biztonsági rés program összeomlásához és tetszőleges kódfuttatáshoz vezethet Csipogó számítógép. Ami még rosszabb, a támadók megkerülhetik a biztonsági szoftvert, ha a kódot már végrehajtották.
Az új javítás a Google negyedik nulladik napi javítása a Chrome-ban ebben az évben. Februárban, márciusban és áprilisban a vállalat külön javításokat adott ki a különféle sebezhetőségekhez, amelyek közül néhányat Észak-Korea által támogatott állami hackerek használtak ki.