Εκατομμύρια χρήστες του Google Chrome κλήθηκαν να ενημερώσουν την εφαρμογή περιήγησης, καθώς ειδικοί εντόπισαν ένα επικίνδυνο κενό ασφαλείας «υψηλού επιπέδου» που επιτρέπει σε κακόβουλους ιστότοπους να υποκλέπτουν δεδομένα.
Το κενό ασφαλείας, με την κωδική ονομασία CVE-2024-5274, αφορά ένα σφάλμα τύπου confusion στον μηχανισμό JavaScript και WebAssembly V8.
Το πρόβλημα επισημάνθηκε από τις ομάδες Google Threat Analysis και Chrome Security στις 20 Μαΐου. Οι παραβιάσεις ασφαλείας τύπου confusion συμβαίνουν όταν ένα πρόγραμμα προσπαθεί να αποκτήσει πρόσβαση σε πόρο με ασύμβατο τύπο.
Φανταστείτε τη μνήμη του υπολογιστή σαν μια μεγάλη βιβλιοθήκη, όπου κάθε βιβλίο έχει συγκεκριμένο περιεχόμενο και βρίσκεται σε συγκεκριμένο ράφι. Ένα σωστά λειτουργικό πρόγραμμα ξέρει σε ποιο ράφι να αναζητήσει το σωστό βιβλίο (δεδομένα).
Σε περίπτωση σφάλματος τύπου confusion, το πρόγραμμα νομίζει ότι αναζητά ένα βιβλίο με ιστορίες (κείμενο) αλλά καταλήγει να ψάχνει σε ράφι με εργαλεία (κώδικα), λόγω λανθασμένης ταξινόμησης των ραφιών. Αυτή η εσφαλμένη πρόσβαση σε δεδομένα μνήμης (βιβλίο εργαλείων αντί για βιβλίο ιστοριών) μπορεί να προκαλέσει απρόβλεπτα αποτελέσματα, όπως αδυναμία εύρεσης του σωστού βιβλίου (πρόσβαση σε λάθος δεδομένα) ή ακόμα και ζημιά σε ολόκληρη τη βιβλιοθήκη (εκτέλεση κακόβουλου κώδικα από επίθεση).
Το συγκεκριμένο κενό ασφαλείας προκαλούσε ένα πρόβλημα γνωστό ως «πρόσβαση μνήμης εκτός ορίων» (out-of-bounds memory access) στο JavaScript V8 του Chrome.
Πριν επιδιορθωθεί από την Google, όπως γράφει το foxreport, το κενό ασφαλείας ήταν ήδη σημείο εκμετάλλευσης. Για να διορθώσει το πρόβλημα, η Google κυκλοφόρησε μια ενημέρωση που «διορθώνει τα ράφια» στη βιβλιοθήκη της μνήμης, εξασφαλίζοντας ότι τα προγράμματα μπορούν να βρουν τις σωστές πληροφορίες.
Οι ειδικοί προτρέπουν τώρα τους χρήστες του Google Chrome να αναβαθμίσουν στις εκδόσεις 125.0.6422.112/.113 για Windows και macOS, και στην έκδοση 125.0.6422.112 για Linux, για να αντιμετωπίσουν πιθανές απειλές ασφαλείας.
Επίσης, συνιστάται στους χρήστες browsers που βασίζονται στο Chromium, όπως οι Microsoft Edge, Brave, Opera και Vivaldi, να εγκαταστήσουν τις ενημερώσεις κώδικα το συντομότερο δυνατόν.
Ο Chromium είναι ένας δωρεάν και ανοιχτού κώδικα περιηγητής που αναπτύσσεται από την Google LLC και χρησιμοποιεί τη μηχανή απεικόνισης Blink. Ο κώδικας του Google Chrome βασίζεται στον κώδικα του Chromium.
Google Chrome: Τι πρέπει να κάνετε για να προστατευτείτε
Για να προστατευτείτε από το κενό ασφαλείας zero-day, θα πρέπει να ενημερώσετε το πρόγραμμα περιήγησης Chrome σας αμέσως.
- Ανοίξτε το Chrome στη συσκευή σας.
- Στην επάνω δεξιά γωνία, κάντε κλικ στο εικονίδιο με τις τρεις κουκίδες και, στη συνέχεια, πατήστε Ρυθμίσεις.
- Στα αριστερά, κάντε κλικ στην επιλογή Σχετικά με το Chrome. Ενώ βρίσκεστε εκεί, το Chrome θα ελέγξει αυτόματα για ενημερώσεις και θα τις κατεβάσει, εφόσον υπάρχουν.
- Εάν υπάρχει διαθέσιμη ενημέρωση, κάντε κλικ στο κουμπί Επανεκκίνηση για ενημέρωση για να την εφαρμόσετε.
