Три опасные уязвимости в Google Chrome | Блог Касперского

Google закрыла три уязвимости в Chrome. CVE-2021-37975 и CVE-2021-37976 уже эксплуатируются злоумышленниками, CVE-2021-37974 также весьма опасна.

Компания Google выпустила экстренное обновление браузера Chrome, закрывающее три уязвимости: CVE-2021-37974, CVE-2021-37975 и CVE-2021-37976. Одна из уязвимостей имеет критический уровень опасности, две другие — высокий.

Что еще хуже, по сведениям Google две из трех этих уязвимостей уже эксплуатируются злоумышленниками. Поэтому всем пользователям браузера рекомендуется незамедлительно обновиться до версии 94.0.4606.71. Уязвимости также актуальны и для других браузеров, построенных на базе движка Chromium — например Microsoft рекомендует обновить Edge до версии 94.0.992.38.

Подробнее об уязвимостях в Google Chrome

CVE-2021-37974 и CVE-2021-37975 относятся к классу use-after-free (UAF), то есть эксплуатируют некорректное использование динамической памяти и в результате позволяет выполнять произвольный код на компьютере.

Первая из них, CVE-2021-37974, связана с компонентом безопасного браузинга (Safe Browsing) — встроенной в Chrome системы предупреждений о небезопасных сайтах и загрузках. Степень опасности этой уязвимости по системе CVSS v3.1 составляет 7,7 баллов.

Вторая уязвимость, CVE-2021-37975, обнаружена в движке V8, который служит для исполнения JavaScript-сценариев, она считается наиболее опасной из всех трех — 8,4 по CVSS v3.1, что соответствует критическому уровню риска. Именно ее уже активно используют неизвестные злоумышленники.

Причина третьей уязвимости, CVE-2021-37976, — выдача лишних данных ядром Google Chrome. Она чуть менее опасна — 7.2 по шкале CVSS v3.1., но при этом также уже используется злоумышленниками.

Как эти уязвимости могут проэксплуатировать

Эксплуатация всех трех уязвимостей подразумевает создание вредоносной страницы. То есть атакующим достаточно сделать сайт с эксплойтом и как-то заманить на него жертву. В результате, эксплойты для двух уязвимостей типа use-after-free позволят выполнить произвольный код на компьютере зашедших на страницу пользователей, что может привести к компрометации их систем. Эксплойт для третьей уязвимости, CVE-2021-37976, позволит нападающим получить доступ к конфиденциальной информации жертвы.

Более подробную информацию об уязвимостях Google, вероятно, раскроет после того, как большинство пользователей обновит свои браузеры. В любом случае, затягивать с обновлением не стоит — лучше сделать это как можно скорее.

Как оставаться в безопасности

Первым делом следует обновить браузеры на всех устройствах, с которых вы выходите в интернет. Достаточно часто это происходит автоматически, при перезагрузке браузера, однако многие пользователи подолгу не перезапускают компьютер, так что их браузер может остаться уязвимым. В любом случае, будет нелишне проверить версию Chrome (меню управления и кастомизации -> Help -> About Google Chrome). Если у вас не последняя версия, то такая проверка автоматически запустит обновление.

Кроме того, мы рекомендуем пользователям установить защитные решения на всех устройствах, имеющих выход в интернет. Даже если однажды злоумышленники поймают вас с не обновленным браузером, проактивные технологии защиты минимизируют возможность успешной эксплуатации уязвимостей.

Сотрудникам ИБ-отделов компаний, мы также рекомендуем использовать защитные решения на всех корпоративных устройствах и централизованно следить за выходом патчей и настроить автоматическую доставку обновлений на компьютеры сотрудников. Будет разумно приоритизировать установку обновлений браузеров.

02.10.2021