Dňa 4. júla 2022 spoločnosť Google vydala opravu na riešenie hrozby CVE-2022-2294, bezpečnostnej chyby nájdenej v jej webovom prehliadači Chrome.
Spoločnosť Google uviedla, že táto nová aktualizácia (verzia 103.0.5060.114) bude k dispozícii všetkým používateľom prehliadača Chrome na celom svete v priebehu niekoľkých týždňov. Používateľom bolo odporučené, aby čo najskôr aktualizovali svoj softvér a nainštalovali si túto „kritickú opravu zabezpečenia“, aby sa tak nestali obeťou tejto zraniteľnosti.
Toto je štvrtý Chrome Zero-Day v roku 2022
Hoci sa zraniteľnosť CVE-2022-2294 v súčasnosti využíva, spoločnosť Google ešte nezverejnila veľa informácií o tom, ako ju odhaliť. Spoločnosť zverejnila iba rýchlu aktualizáciu Google Chrome vydáva blog.
Zraniteľnosť CVE-2022-2294 už bola zneužitá škodlivými stranami a bola objavená až vtedy, keď Jan Vojtešek z tímu Avast Threat Intelligence nahlásil chybu 1. júla.
Táto hrozba je spojená s chybou pretečenia haldy v rámci komponentu Web Real-Time Communication (Web RTC) prehliadača Chrome, ktorý dáva prehliadaču možnosti komunikácie v reálnom čase. Táto slabosť, známa aj ako „rozbíjanie haldy“ alebo „prekročenie haldy“, môže viesť k škodlivým útokom odmietnutia služby (DoS).
Informácie o zraniteľnosti boli pravdepodobne zadržané, aby sa zabránilo kyberzločincom dozvedieť sa o nej príliš veľa. Vieme však, že toto je už štvrtá zraniteľnosť nultého dňa, ktorá bude tento rok opravená. Predchádzajúce slabé stránky zahŕňajú:
- CVE-2022-0609 (14. februára)
- CVE-2022-1096 (25. marca)
- CVE-2022-1364 (14. apríla)
Aktualizujte prehliadač Google Chrome čo najskôr
Pretože tento konkrétny zero-day exploit (čo sú zero-day exploity?) je z hľadiska rizika veľmi závažná, aktualizácia prehliadača Chrome by mala byť prioritou.
Ak používate zariadenie so systémom macOS, Linux alebo WIndows, odporúčame vám stiahnuť si verziu 103.0.5060.114. Ak používate zariadenie so systémom Android, odporúča sa aktualizovať na verziu 103.0.5060.71.
Vo väčšine prípadov Chrome automaticky nainštaluje túto aktualizáciu, ale neurobí tak, ak je funkcia automatickej aktualizácie zakázaná. Skontrolujte nastavenia prehliadača a overte si, či máte nastavené automatické aktualizácie alebo či ich potrebujete nainštalujte najnovšiu verziu prehliadača Chrome manuálne.
Budúce využitie Zero-Day je vždy možné
Postupom času sa môžeme stretnúť s budúcimi zraniteľnosťami nultého dňa vo webovom prehliadači Chrome. Aj keď to bude vždy riziko, rýchle reakcie spoločnosti Google snáď zmiernia akékoľvek škody spôsobené zlomyseľnými hráčmi, ktorí využívajú tento druh slabosti.