Кожен другий користувач CHROME під загрозою.

 

В усіх версіях браузера Chrome, за виключенням останньої (Chrome 60), присутня прогалинна в безпеці, яка дає можливість віддалено виконувати код. Проблема була виявлена дослідником, який не захотів розкривати своє ім’я та повідомив про неї через спеціалістів компанії Beyond Security.

Співробітники Beyond Security зв’язались з інженерами Google й провідомили про прогалину безпеки, проте, згідно баг-звіту, представники Google відповіли, що не планують усувати небезпечну RCE-загрозу, так як вона не несе небезпеки для останньої версії браузера (Chrome 60).  

Будучи здивованими такою відповіддю, эксперти Beyond Security з чистою совістю змогли опублікувати інформацію про проблему на своєму сайті, а також випустили PoC-код (proof-of-concept) для експлуатації прогалини.

Проблема охоплює компонент Turbofan для оптимізаціїи JavaScript-коду. Для виконання атаки зловмисник заманити жертву на підконтрольний йому web-сайт зі шкідливим JavaScript-кодом. Проексплуатувавши вразливість, атакуючий зможе виконати код в браузері жертви. У звіті не згадується вихід поза межі браузера для виконання коду на рівні ПК. Тим не менше, хакер може викрасти дані, доступні через браузер (файли cookie, паролі и т.д.).

Слід зазначити, що на сьогодні Google Chrome охоплює близько 59% всього ринку браузерів. Але згідно даних аналітичної компанії Clicky, «свіжий» Chrome 60  встановлений лишень у половини користувачів.

Відтак рекомендуємо перевірити версію Google Chrome (вона повинна бути не нижче 60.0.Х.) та обновитись до актуальної. Перевірити версію браузера можна через меню “налаштування >Допомога>Про Google Chrome” 

Обновлену версію можна сказати з офіційного сайту браузера.  

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *