Chrome се използва от над три милиарда потребители по целия свят, но след като тази година Google откри първия експлойт от типа Zero Day в браузъра, всеки трябва приоритетно да актуализира своя браузър.
В нова публикация в блога си Google потвърди откриването на уязвимостта от типа Zero Day и че тя засяга Chrome в Windows, Mac и Linux. Google също така потвърди, че е наясно, че съществува и се разпространява такъв експлойт.
Уязвимостта CVE-2023-2033 се дължи на Type Confusion in V8. Това се случва, когато дадена програма използва един метод за заделяне или инициализиране на ресурс, но след това несъвместим метод получава достъп до този ресурс, което потенциално осигурява незащитен достъп до паметта на браузъра.
Уязвимостта е открита от Групата за анализ на заплахите на Google, но не може да бъде създаден пач, преди да започнат първите експлойти на Chrome.
Добрата новина е, че Google вече има ъпдейт, а за да го получите, трябва незабавно да актуализирате Chrome. За да направите това, щракнете върху лентата с меню (три вертикални точки) в горния десен ъгъл на браузъра, след което Help (Помощ) > About Google Chrome (За Google Chrome). Това ще принуди Chrome да провери за актуализации на браузъра. След като актуализацията приключи, трябва да рестартирате браузъра, за да сте напълно защитени.
Google свърши невероятна работа по поправянето на уязвимостите в Chrome през тази година и е забележително, че стигнахме до април, преди да се появи първият Zero-Day експлойт. В перспектива през 2021 г. в Chrome е имало 15 Zero Day експлойта, а през 2022 г. - девет, така че напредъкът е очевиден.
Този напредък също не е никак малък, защото доминиращата позиция на Chrome означава, че той има най-голямата "мишена на гърба си" от всички браузъри. Всъщност Google предупреди потребителите, че трябва да очакват броят на атаките от типа Zero Day да продължи да нараства през март 2022 г., но следователно компанията е постигнала невероятен успех в спирането на вълната.
Има много причини за това, но стабилната система за докладване на Google и изплащането на високи възнаграждения за уязвимостите насърчава изследователите по сигурността да продават откритията си на Google, а не на хакерите. Например през 2022 г. Google е изплатил над 12 млн. долара под формата на възнаграждения за грешки, включително единично рекордно възнаграждение от 605 000 долара за един критичен експлойт.
Въпреки това сега, когато първият подобен експлойт на Chrome за 2023 г. е тук, няма време за губене.
Снимка: Unsplash
Виж още: Chrome става с 30% по-бърз на телефони от висок клас, но с уловка