פגיעות אבטחה קריטית שמסכנת 2 מיליארד משתמשי כרום מתוקנת בימים אלה
הבעיה: גוגל לא נתנה כל הסבר ורק ציינה שזוהי פגיעות מסוג ניצול "use ater free" ● חוקר אבטחה מסופוס כתב בפוסט בבלוג על מהות הפגיעות וממליץ למשתמשי כרום לעדכן מהר ככל האפשר את הדפדפן במערכותיבם
גוגל גילתה פגיעות אבטחה קריטית בכרום בשבועות האחרונים, אך עד כה לא פרסמה כל הסבר. לפי הפרסומים – גם המילה "קריטית" ממעיטה בערכה.
לדברי חוקר האבטחה של סופוס, פול דאקינג, שכתב פוסט בבלוג – גירסה 81.0.4044.113 של כרום כוללת טלאי תיקון לפגיעות, שמאפשרת לתוקפים למנוע את בדיקות האבטחה הרגילות של כרום ואף עוקפת את מה שהוא מכנה תיבת הדיאלוג "האם אתה בטוח" – התיבות שמופיעות על המסך כאשר על המשתמש לאשר משהו שעשוי לסכן אותו.
הפרט היחיד שגוגל כן סיפקה הוא הערת אבטחה, שהבאג הזה הוא מה שמכונה ניצול "use ater free". פגיעויות זיכרון מעין אלה עלולות לאפשר הרצה של קוד זדוני באמצעות השתלטות על זיכרון שהתפנה לשימוש של יישומים אחרים.
"פגיעות מעין זו בכרום מאפשרת לתוקפים לשנות את השליטה על הזיכרון בתוכנית מסוימת, כולל הסטת המעבד המרכזי, ה-CPU, להרצת קוד לא מאובטח שהתוקף שתל לתוכו מבחוץ", כתב דאקינג בפוסט.
גוגל סימנה את הפגיעות הזאת כ"קריטית", והמשמעות היא שתוקפים יכולים לפעול מרחוק ואפילו בלי גישה פיזית למחשב. אם הפגיעות הייתה קיימת בכל הגירסאות של כרום, היא עלולה להשפיע על שני מיליארד אנשים המשתמשים בו כדפדפן מועדף.
לדברי דאקינג, גוגל אמורה להפיץ טלאי שיתקן את הפגיעות לגירסאות Mac חלונות ולינוקס בימים או בשבועות הקרובים.
חוקר האבטחה ממליץ למשתמשים לבדוק את גירסת הכרום המותקת אצלם ולהתקין את הגירסה האחרונה – החל מגירסה 81.0.4044.113 ויותר, שיהיו בטוחות לשימוש.
כמי שמריץ לינוקס (אובונטו), בדקתי, והגירסה אצלי היא - 80.0.3987.149-1 בדקתי אם יש עדכוני תוכנה לגוגל-כרום, ונרשם שזו הגרסה העדכנית. אפשר לקבל הבהרה בנושא?