Chrome опасен
В браузере Google Chrome обнаружена критическая уязвимость с очень высоким уровнем опасности. Как сообщил портал GizChina, хакеры первыми узнали о ее существовании и на протяжении некоторого времени пользовались ею для взлома пользователей.
Брешь получила индекс CVE-2022-2856. В базу CVE она была внесена 16 августа 2022 г. Google осведомлена о ней, поскольку именно ее специалисты смогли обнаружить ее. Сделали это сотрудники команды Google Threat Analysis Group – они сообщили о своей находке 19 июля 2022 г.
Google намеренно держит в тайне подробности о CVE-2022-2856, чтобы не спровоцировать лавину атак на пользователей – высокий уровень опасности присваивается уязвимостям не просто так. Однако некоторые сведения все же известны. По информации портала Mashable, эксплуатация CVE-2022-2856 позволяет вредоносным сайтам провоцировать запуск произвольного ПО на компьютерах пользователей с дальнейшими не самыми приятными последствиями, например, в виде скачивания и запуска вируса-шифровальщика.
Google не стала отрицать, что хакеры в курсе наличия в Chrome столь гигантской «дыры». Корпорация подтвердила, что они активно ею пользуются, но не уточнила, как часто, и насколько большим может быть количество пострадавших.
Также нет информации, как долго CVE-2022-2856 существует в составе Chrome. Ни в коем случае нельзя исключать, что это старая уязвимость, обнаруженная лишь сейчас. При таком раскладе хакеры могли пользоваться ею годами – самому Chrome через несколько дней исполнится 14 лет.
Бояться нечего
Несмотря на всю опасность CVE-2022-2856, пользователям Chrome бояться нечего. Но лишь в том случае, если они не стали отключать автоматическое обновление.
Google уже подготовила патч, исправляющий данную уязвимость наряду с еще десятью, немного менее критичными. Информацию о возможностях, открываемых CVE-2022-2856 хакерам, Google скрывает потому, что обновление пока еще установили далеко не все пользователи.
Проблема решается путем установки апдейта до версии 104.0.5112.102/101 в случае Chrome для Windows. Пользователям macOS и Linux необходимо скачать версию 104.0.5112.101. Это стабильные, не экспериментальные сборки, которые установятся на компьютер в фоновом режиме, если таковая функция активирована.
На мобильную версию Chrome под Android или iOS проблема с CVE-2022-2856 не распространяется. Однако неизвестно, существует ли данная уязвимость в составе браузеров, сделанных на движке Chromium, например, в Microsoft Edge, Opera, Brave или Vivaldi. Forbes пишет, что они тоже могут быть подвержены данной проблеме, и что их разработчики, вероятно, готовят необходимые исправления.
Популярность – не гарантия качества
Chrome – это самый популярный браузер в мире. К своему 14-летию он занял 65,14% мирового рынка (данные StatCounter за июль 2022 г.) против 18,82% у Apple Safari, 4,11% У Microsoft Edge и 3,3% у Mozilla Firefox.
В России на Chrome приходится 55,9% рынка. Его ближайший конкурент – это отечественный «Яндекс браузер» с долей 16,28%, следом идет Safari с 10,43%. Opera на четвертом месте с 6,99%, Firefox – на пятом с 4,62%.
Однако востребованность Chrome не означает, что это самый безопасный в мире обозреватель. В нем не редко обнаруживаются бреши, эксплуатация хакерами которых грозит пользователям крупными неприятностями.
Так, в середине февраля 2022 г. в Chrome был найден баг CVE-2022-0609, связанный с повторным использованием выделенной области памяти после ее освобождения (Use-after-free) в компоненте Animation. В случае успешной эксплуатации этой уязвимости возникает возможность запуска произвольного кода в системе, как и при эксплуатации CVE-2022-2856.
Случаи, в целом, очень схожие. Как только информация о CVE-2022-0609 просочилась в Сеть, Google сразу признала, что хакеры активно пользуются этой уязвимостью. Но к тому моменту у нее был готов патч – брешь была устранена в Chrome версии 98.0.4758.102. Другие браузеры на основе Chromium тогда тоже попали под подозрение – данная «дыра» могла присутствовать и в них.
Черные лебеди в ИБ: как поймать и к чему готовиться?В декабре 2020 г. Google выпустила обновление для Chrome, устраняющее сразу восемь брешей, половина из которых была признана, хоть и не критическими, но очень опасными. Чтобы не помогать хакерам, Google не стала раскрывать подробности о них, а просто порекомендовала как можно скорее установить самую на тот момент актуальную версию своего браузера.