CHROME UNDER HACKERANGREP – HVORDAN OPPDATERER DU ASAP

(Bildekreditt: monticello/Shutterstock)

Google lappet Chrome for Windows, Mac og Linux mandag (13. september) for å fikse to zero-day-feil som aktivt brukes av hackere i angrep. Ni andre sårbarheter ble også fikset. Du bør oppdatere nettleseren din ASAP for å sikre at du ikke er en sittende and.

Til oppdater Chrome i Windows eller Mac er det vanligvis nok å bare lukke nettleseren og starte den på nytt. Brukere av enkelte Linux-distribusjoner kan imidlertid måtte vente på distroen deres for å pakke Chrome-fiksen sammen med andre programvareoppdateringer.

halo 5 kommer til pc

Jeg trodde Amazon Fire TV-er var søppel - men Omni endrer det

Cyber Monday-tilbud: se alle de beste tilbudene akkurat nå!

Hvis relansering av Chrome ikke oppdaterer den, flytter du musepekeren opp til de tre små vertikale prikkene øverst til høyre i nettleservinduet. Klikk på prikkene, og flytt deretter markøren ned for å holde musepekeren over 'Hjelp' i rullegardinmenyen.

Et mindre vindu vil sprette ut til venstre. Klikk 'Om Google Chrome'. Nettleseren din vil enten fortelle deg at den er oppdatert eller vil oppdatere seg selv og deretter be deg om å starte på nytt. Versjonen av Chrome du vil bruke akkurat nå er 93.0.4577.82 .

Ingen tid til å forberede seg

De to korrigerte nul-dagers feilene, katalogisert som CVE-2021-30632 og CVE-2021-30633, ble begge rapportert til Google av anonyme kilder (muligens samme kilde) 8. september.

De kalles 'null dager' fordi hackere allerede brukte dem i angrep før Chrome fant ut av det, noe som ga utviklerne ikke tid til å forberede rettelser før utnyttelsen begynte. Dette er de første nulldagene som er oppdatering i Chrome siden midten av juli.

Den første er beskrevet som en 'out-of-bounds-skriving i V8', som er Chromes JavaScript-motor og håndterer mange av de bevegelige delene på en nettside. Google har lappet et halvt dusin zero-days i år relatert til V8.

Den andre feilen er karakterisert som «bruk etter fri i Indexed DB API», noe som betyr at hackere fant ut en måte å kapre løpende minne allokert til et programmeringsgrensesnitt som håndterer JavaScript-interaksjoner med en database.

30 min treningsøkter for kvinner

JavaScript er en av hovedkomponentene som gjør interaktive nettsteder mulig. Før JavaScript var nettsteder stort sett statiske. Uten JavaScript og lignende teknologier ville du ikke kunne åpne en Gmail-melding uten å laste hele siden på nytt.

Mulig internasjonal spionasje

Det er ennå ingen informasjon om hvem som brukte disse to zero-days-feilene, eller hvem som ble målrettet. Men det meste av Chrome null-dager fikset i 2021 har involvert høyt ressurssterke nasjonalstatsangripere - det vil si regjeringsspioner - som går etter mål med høy verdi, som kan inkludere politiske dissidenter, utenlandske diplomater eller andre hvis datamaskiner og smarttelefoner kan inneholde mye verdifull informasjon.

De andre feilene som ble løst inkluderte tre i Blink-gjengivelsesmotorene som bygger nettsider i Chrome, og to i ANGLE-grafikkmotoren. De fleste av oppdagerne deres ble navngitt, men vi likte den som bare ble identifisert som '@SorryMybad.'

Chrome deler sin åpen kildekode Chromium-kodebase med flere andre nettlesere, og ikke alle var oppdatert ennå når dette ble skrevet. Til tross for gårsdagens (14. september) Patch Tuesday-runde med Microsoft-oppdateringer, var Microsoft Edge-nettleseren fortsatt basert på Chromium 93.0.4577.63, mens Opera var enda lenger tilbake med Chromium 92.0.4515.159.

Imidlertid har både Brave og Vivaldi oppdatert seg til den nåværende versjonen av Chromium.