Zakrpan aktivno korišteni zero-day propust u Chromeu
Koristite li Googleov preglednik na Windowsima, Macu ili Linuxu, najtoplija je preporuka odmah ga nadograditi na posljednju stabilnu inačicu kako ne biste postali žrtvom hakera
Google je ovoga tjedna zakrpao opasni zero-day sigurnosni propust u svojem internetskom pregledniku Chrome. Njegov stabilni kanal za desktope dobio je inačicu 88.0.4324.150. Ova verzija, objavljena krajem tjedna, jedina je sigurna od hakerskih napada koji su aktivno koristili propust u svim dosadašnjim verzijama najpopularnijeg preglednika u svijetu. Propusti su bili uočeni u svim desktop inačicama Chromea, neovisno o operacijskom sustavu.
Hitna zakrpa
Koristite li, dakle, Google Chrome na računalu s Windowsima, Linuxom ili na Macu, pokrenite provjeru aktualne verzije i ažurirajte preglednik na posljednju verziju (Možete to učiniti kroz izbornik Help/About Google Chrome ili upisujući chrome://settings/help u adresu traku).
Problem koji je u zadnjoj inačici zakrpan uočen je 24. siječnja, a ranjivost koju je otkrio sigurnosni stručnjak Mattias Buelens dobila je oznaku CVE-2021-21148. Radi se o zero-day propustu koji je bio aktivno korišten, odnosno za čije iskorištavanje je postojala tehnologija, a netko ju je, negdje, koristio prije nego je Chrome zakrpan – i može je koristiti i dalje na neažuriranim sustavima.
Ranjivost je otkrivena u samoj srži preglednika, njegovom V8 JavaScript engineu, a izvodila se tako da se memorija sustava "pretrpavala". Tzv. "heap buffer overflow" napad omogućavao je hakerima pristup računalu, a detalji otkrivenih napada i hakerske metode nisu objavljeni.
