Μερικές ημέρες μετά την πρόσφατη έκτακτη ενημέρωση ασφαλείας, η Google έκανε διαθέσιμη άλλη μια επείγουσα ενημέρωση για το πασίγνωστο πρόγραμμα περιήγησης Chrome. Αυτή αντιμετωπίζει μια νέα zero-day ευπάθεια -τη δεύτερη για φέτος- που όπως παραδέχεται ο τεχνολογικός κολοσσός ήδη χρησιμοποιείται σε επιθέσεις και ιούς που κυκλοφορούν στο διαδίκτυο. Όπως αντιλαμβάνεστε, λοιπόν, είναι ζωτικής σημασίας να κάνετε γρήγορα ενημέρωση αν χρησιμοποιείται τον Chrome για την πρόσβασή σας στο διαδίκτυο.
Η νέα αυτή έκδοση, έχει κωδικό 112.0.5615.137 και διορθώνει συνολικά οκτώ ευπάθειες. Είναι διαθέσιμη ήδη για χρήστες Windows και Mac, ενώ σύντομα αναμένεται και η έκδοση για Linux.
Ποιο είναι όμως το μεγάλο πρόβλημα που υπήρχε; Περνώντας στις βαθύτερες τεχνικές λεπτομέρειες, έχουμε να κάνουμε με μια πολύ σοβαρή integer overflow ευπάθεια που εντοπιζόταν στην ‘Skia’, μια βιβλιοθήκη 2D γραφικών ανοικτού κώδικα γραμμένη σε C++, η οποία ανήκει στην Google. Η Skia αποτελεί βασικό μέρος του rendering pipeline του Chrome, παρέχοντας APIs για την εμφάνιση γραφικών, κειμένου, σχημάτων, εικόνων και animations.
Χάρη σε αυτό το κενό ασφαλείας μπορούσε να επιτευχθεί μέχρι και εκτέλεση αυθαίρετου κώδικα που ενδεχομένως να οδηγούσε σε μη εξουσιοδοτημένη πρόσβαση στο σύστημα του χρήστη. Ο Clément Lecigne της Ομάδας Ανάλυσης Απειλών (TAG) της Google ανακάλυψε την ευπάθεια νωρίτερα αυτό το μήνα. Σύμφωνα με τη συνήθη πρακτική, η Google δεν είχε αποκαλύψει περαιτέρω λεπτομέρειες σχετικά με τις επιθέσεις που την αφορούν, ώστε να δώσει χρόνο στους χρήστες να ενημερώσουν το λογισμικό τους πριν αποκαλύψει τεχνικές πληροφορίες που θα μπορούσαν να βοηθήσουν τους κακόβουλους να δημιουργήσουν περισσότερα exploits.
Για να βεβαιωθείτε πως έχετε την τελευταία έκδοση, αρκεί από το μενού του προγράμματος να πάτε στη Βοήθεια > Σχετικά με το Google Chrome. Με αυτό τον τρόπο ο Chrome αναγκάζεται να ελέγξει για ενημερώσεις. Μετά την ολοκλήρωση της διαδικασίας, ίσως να χρηστεί επανεκκίνηση του προγράμματος περιήγησης.
Είναι αξιοσημείωτο ότι πρόκειται για την δεύτερη Zero Day ευπάθεια που βρέθηκε στον Chrome φέτος, με το προηγούμενο update να φτάνει μόλις ημέρες πριν. Για την ιστορία, το 2021 είχαν βρεθεί 15 Zero Day ευπάθειες και 9 το 2022. Για να κρατήσει αυτά τα νούμερα σε χαμηλά επίπεδα, κάθε χρόνο η Google καταβάλει τεράστια ποσά σε ερευνητές ασφαλείας για την ανακάλυψη ευπαθειών. Μόνο το 2022, η Google κατέβαλε πάνω από 12 εκατομμύρια δολάρια σε αμοιβές για σφάλματα, συμπεριλαμβανομένου ενός ποσού-ρεκόρ, ύψους 605.000 δολαρίων για ένα μόνο κρίσιμο exploit.
Παρά τις προσπάθειες βέβαια, η κυριαρχία του Chrome στην αγορά σημαίνει ότι παραμένει πρωταρχικός στόχος για τους επιτιθέμενους.
Πηγή: unboxholics.com