Google maksis avastajale 16 000 dollarit ja lappis Chrome'i brauseri olulise turvaaugu

Veebirebane
30. apr

Populaarse veebibrauseri ohtlik turvaauk sai just lapitud ning nagu sel puhul ikka, soovitatakse ka nüüd oma brauserit kohe uuendada.

Google avaldas hiljuti Google Chrome'i 124. versiooni uuenduse. See värskendus sisaldab parandusi neljale turvanõrkusele, millest üks on tunnistatud kriitiliseks ja see tähendab, et kõik, kellel veebilehitseja pole ise automaatselt veel olulist uuendust teinud, võiksid selle Help menüüst käsitsi käivitada, enne kui hilja.


See kriitiline haavatavus nimega CVE-2024-4058 on seotud tüübisegaduse veaga ANGLE graafikamootoris ning on eriline veel ka sellepärast, et avastati vabatahtliku poolt, kes reageeris Google´i üleskutsele turvaaukudest teada anda. Tarkvarahiiglane nimelt premeerib eriti kriitiliste vigade avastamise eest rahaliselt ning andiski avastajale välja 16 000 dollarit.

Kuna see viga, mille preemia saaja leidis, on hinnatud kõige rängema ehk "kriitilise" tasemega, võib haavatavust potentsiaalselt kahjulikult ära kasutada suvalise koodi täitmiseks arvutis kasutaja sekkumiseta.

Viimastel aastatel on vaid väga vähestele Chrome'i turvanõrkustele omistatud "kriitiline" tase.

Google tunnustas CVE-2024-4058 avastamise eest kahte Qrious Secure'i grupi liiget. Qrious Secure kirjeldab end kui "kogenud häkkerite gruppi, kellele ei paku miski nii suurt lõbu kui haavatavuste avastamine ja nende enda lõbuks ja kasuks ära kasutamine".

Grupp on teatanud Google'ile veel vähemalt kahest teisest Chrome'i haavatavusest – CVE-2024-0517, mis võimaldab suvalise koodi täitmist, ja CVE-2024-0223, mis annab ründajatele olenevalt asjaoludest potentsiaalselt isegi GPU õigused. Mõlemad haavatavused parandati Google'i poolt selle aasta alguses.

Google pole avaldanud, kas CVE-2024-4058 ohtu on kuskil juba ära kasutatud. Siiski nendib Chrome'i brauseri looja ja arendaja, et tüübisegaduse vigu kasutatakse ära tihti, mis tavaliselt mõjutab V8 JavaScripti mootorit.

Chrome'i uusim värskendus parandab ka veel kaks suure riskiga haavatavust, mille eest pole preemiaid määratud: CVE-2024-4059 (piiridest väljas mälu lugemine V8 API-s) ja CVE-2024-4060 (kasutamine-pärast-vabastamist turvaoht Dawni komponendis).

Mida teha?

Kui kasutad Google Chrome'i brauserit, on tungivalt soovitatav koheselt installida viimane turvavärskendus. Selleks ava Chrome, klõpsa kolmel vertikaalsel punktil ülemises paremas nurgas, liigu menüüs "Abi" juurde ja vali "Google Chrome'i info". Chrome kontrollib automaatselt värskendusi ja installib kohe, kui need on saadaval.

Veebirebane

Veebimajutus.ee pakub oma klientidele mugavusteenust domeeni, e-posti, kodulehe majutuse ja tööriistade vallas. Elkdata OÜ on tegutsenud 25 aastat, teenindades igapäevaselt pea 25 000 klienti, luues neile väärtust läbi kiirete ja lihtsate veebiteenuste.

Kasutajad kes lugesid seda artiklit lugesid ka neid

Veebimajutus on Facebookis. Sina oled kah.
Saame sõpradeks? Meil on Sulle palju rääkida, küllap Sul meilegi. Teeme ära?
fox-head fox-head
Ka veebis tuleb targalt tegutseda. Eriti veebis!
Veebimajutuse 25 000 klienti rääkisid ja meie kuulasime - oleme teie vajaduste ning tagasiside põhjal loonud blogi, milleta ei saa hakkama ükski edukas e-ärimees. Eesti tippkirjutajad toovad Sinuni värskeimad nipid, uudised ja nõuanded. Ükski trend ei jää saladuseks ning väljakutse ületamatuks!
Klienditeenindus
Lisasime diili sinu ostukorvi, said ikka mega hea diili!

Vali paketi periood

1 kuu põhine arveldus

Kuus 12.08

Kokku 12.08

3 kuu põhine arveldus

Kuus 12.08

Kokku 36.24

6 kuu põhine arveldus

Kuus 12.08

Kokku 72.48

1 aasta põhine arveldus

Säästad 20% ehk -24.16

Kuus 10.07

Kokku 120.80

1 aasta
0.00
2 aastat
0.00
3 aastat
0.00
4 aastat
0.00
5 aastat
0.00
6 aastat
0.00
7 aastat
0.00
8 aastat
0.00
9 aastat
0.00
10 aastat
0.00