Za Google Chrome i njegovih dve milijarde korisnika na desktop računarima, maj će ostati upamćen kao mesec za zaborav: četiri zero-day ranjivosti i hitna ažuriranja unutar deset dana pokrenuli su talas naslova koje je bilo teško propustiti.
Vlada SAD-a upozorila je zaposlene u federalnim institucijama da instaliraju hitna ažuriranja iz maja ili prestanu da koriste Chrome. Prvi rok za ta ažuriranja je 3. jun, a drugi 6. jun. Danas je 3. jun, i trebali biste već primeniti prvo ažuriranje. Ovo je blagovremeni podsetnik da morate osigurati primenu drugog ažuriranja u naredna 72 sata. Jasno je da će se prilikom ažuriranja vašeg pretraživača primeniti sva do tada dostupna ažuriranja.
Druge organizacije treba da učine isto i zahtevaju punu usklađenost zaposlenih, kao i pojedinačni korisnici. Google je hitno izdao ispravke sa valjanim razlogom.
Izgleda da će 3. jun biti značajan dan za Chrome. Ne samo da je to rok američke vlade za prvo ažuriranje, već je to i dan kada će Google početi da povlači mnoge Manifest V2 ekstenzije kako se u proces bude uvodio Manifest V3.
Iako će ovo uticati na mnoge programere i preduzeća, naslovi su se fokusirali na negativan efekat koji će ovo imati na blokatore oglasa, koji će morati da usvoje složen zaobilazni put kako bi radili kao sada. Postoji rizik da korisnici koji čitaju ove redove, možda odlože ažuriranje pretraživača kako bi izbegli probleme sa blokatorima oglasa; stvarno to ne bi trebalo nikako da rade — sigurnosno ažuriranje je ključno.
Google Chrome zahteva hitnu akciju ažuriranja
Dok Google dobija zasluge za brzinu i efikasnost sa kojom su izbačena i najavljena svako od hitnih ažuriranja iz maja, promena Manifest V2 će generisati više različitih povratnih informacija od strane korisnika. Ovo je mnogo više u skladu sa gubitkom značaja kolačića kao drugom glavnom promenom ispod haube, sa zbunjenom korisničkom bazom kojoj se govori da se sve radi iz dobronamernih razloga, ali kao da nisu sigurni kako to primeniti u stvarnom svetu.
Kao što Arstechnica komentariše, “duboko kontroverzni Manifest V3 sistem najavljen je 2019. godine, a puna promena je odlagana mnogo puta, ali sada Google kaže da će stvarno izvršiti tranziciju.”
Nijedna od ovih stvari ne bi trebala sprečiti korisnike da odmah primene hitno ažuriranje, ako to već nisu uradili. I dalje postoji hitnost da korisnici širom sveta osiguraju da su ažuriranja instalirana. Chrome će se automatski ažurirati, ali korisnici moraju zatvoriti i ponovo pokrenuti pretraživač kako bi osigurali da je ažuriranje potpuno primenjeno.
Upozorenja američke vlade dolaze preko njihove Agencije za sajber bezbednost i infrastrukturu (CISA), koja je dodala Chrome upozorenja iz maja u svoj katalog poznatih eksploatisanih ranjivosti (KEV), koji detaljno opisuje “ranjivosti koje su eksploatisane u praksi.”
S obzirom da je proces hitnih ažuriranja zaustavljen, barem za sada, ovo je dobro vreme za izdavanje podsetnika i primenu svih dostupnih automatizovanih procesa u vašoj nadležnosti. Jasno je da bi i kućni korisnici trebali da pod hitno ažuriraju Google Chrome pregledač.
Bolje pre nego posle, bezbednost sistema nije kockanje
Prva od tih ranjivosti, “Use after free in Visuals,” prijavljena je 9. maja i dodata u KEV 13. maja. “Google Chromium Visuals sadrži use-after-free ranjivost koja omogućava napadaču na daljinu da eksploatiše korupciju memorije putem kreirane HTML stranice,” upozorava CISA. “Ova ranjivost može uticati na više web pretraživača koji koriste Chromium, uključujući… Google Chrome, Microsoft Edge i Operu.”
Drugo ažuriranje, koje treba da se primeni do 6. juna, je još jedan problem sa memorijom — CVE-2024-4761, “Google Chromium V8 Engine sadrži neodređenu ranjivost prilikom upisivanja podataka u memoriju uz pomoć kreirane HTML stranice,” objašnjava CISA.
Eksploatacija oba problema mogla bi omogućiti napadaču da preuzme kontrolu nad vašom platformom ili uređajem, bilo direktno ili kao deo lanca napada. Ciljanje ranjivosti memorije otvara vrata ili za pokretanje proizvoljnog koda ili za destabilizaciju vašeg sistema.
Za obe poznate eksploatacione ranjivosti, CISA je naložila federalnim zaposlenima da “primene mitigacije prema uputstvima dobavljača ili prestanu sa korišćenjem proizvoda ako mitigacije nisu dostupne.” To znači osiguranje da je Chrome ažuriranje instalirano. Iako se CISA-ini rokovi 3. i 6. juna specifično odnose na američke federalne agencije, sve druge javne i privatne organizacije treba da učine isto.
Ako je vaš sistem star ili je u pitanju tip računara i operativnog sistema koji više ne podržava Chrome ažuriranja, trebali biste izbrisati pretraživač umesto da rizikujete eksploataciju od strane zlonamernih napadača.
Ostale Chrome zero-day ranjivosti koje su dospele u KEV u maju — CVE-2024-4947 i CVE-2024-5274 — zahtevaju ažuriranja ili prestanak korišćenja do 10. i 16. juna. Jasno je da primena ažuriranja sada treba da osigura da su sve zakrpe primenjene. Osigurajte da se vaš pretraživač ažurira na verziju 125.0.6422.112/.113 za Windows, Mac i 125.0.6422.112 za Linux, upozorava Forbes.
;)