Korzystasz z Google Chrome? Koniecznie zainstaluj aktualizację. W przeciwnym razie możesz mieć kłopoty

1 października 2023 2 minuty czytania

Google załatało lukę zero-day w przeglądarce Chrome, którą wykorzystał dostawca oprogramowania szpiegującego. Gigant technologiczny radzi jak najszybciej zaktualizować przeglądarkę, ponieważ błąd może wpływać na działanie m.in. Firefoxa, Signala czy programów sprzętowych NVIDIA.

Groźna luka zabezpieczeń

Firma Google wydała awaryjną aktualizację zabezpieczeń, usuwającą lukę zero-day w przeglądarce Chrome, która była wykorzystywana do ataków typu exploit od początku roku. Firma wydała zalecenie dotyczące bezpieczeństwa i update’u programu.

Co ciekawe, jak podaje Techcrunch, błąd został początkowo nieprawidłowo zidentyfikowany jako luka w przeglądarce Chrome, ale potem okazało się, że Google przypisał ją do biblioteki libwebp o otwartym kodzie źródłowym, używanej do kodowania i dekodowania obrazów w formacie WebP. To oznacza, że luka miała konsekwencje dla wielu popularnych aplikacji korzystających z biblioteki libwebp, w tym 1Password, Firefox, Microsoft Edge, Safari i Signal.

We suspect that this is the same bug that Citizen Lab reported to Apple after detecting an NSO Group exploit chain called "BLASTPASS" that was used to attack on a Washington DC-based civil society organization.
— Ben Hawkes (@benhawkes) September 21, 2023

Luka została naprawiona w przeglądarce Google Chrome 117.0.5938.132, która jest teraz udostępniana użytkownikom systemów Windows, Mac i Linux w kanale Stable Desktop.

Co to jest atak exploit?

Exploit to fragment kodu, skrypt, komenda lub sekwencja komend, która wykorzystuje słabość lub lukę w zabezpieczeniach systemu komputerowego w celu uzyskania nieautoryzowanego dostępu do systemu. W praktyce exploit to narzędzie, które pozwala hakerom na wykonywanie różnych działań w systemie, takich jak kradzież danych, instalacja złośliwego oprogramowania czy przejęcie kontroli nad systemem.

Exploity działają, wykorzystując błędy w oprogramowaniu. Mogą to być błędy w kodzie, nieaktualne biblioteki, słabe hasła czy nieodpowiednio skonfigurowane zabezpieczenia. Przez tę lukę nieuprawnione systemy są w stanie wykonać określone akcje, które normalnie byłyby niemożliwe dla użytkownika bez określonego dostępu. Istnieją różne typu ataków exploit, jak zero-day, remote czy local.

Zero-day exploit, czyli opisywana luka w zabezpieczeniach Chrome, to exploit, który jest używany przed tym, jak producent oprogramowania zdąży wydać odpowiednią łatkę. Jest on szczególnie niebezpieczny, ponieważ nie ma na niego jeszcze oficjalnej ochrony.

Na koniec przypominamy także, jak wylogować się z konta Google oraz jak wyłączyć asystenta Google na urządzeniach mobilnych z Android i iOS oraz komputerze. Być może przyda ci się jeszcze wskazówka dotycząca rozszerzeń Chrome – dowiedz się, jak zainstalować dodatki z Web Store na Androidzie.

Źródło: Google, oprac. własne