2.4.2020.

Web preglednik Google Chrome ranjiv je na napade

CISA, samostalna federalna agencija pod nadzorom američkog Ministarstva unutarnje sigurnosti (DHS), odgovorna je za zaštitu “kritične infrastrukture nacije od fizičkih i cyber prijetnji”. U objavi od 1. travnja CISA je potvrdila da Google Chrome verzija 80.0.3987.162 “odgovara na ranjivosti koje napadač može iskoristiti kako bi preuzeo kontrolu nad sustavom”, bilo da je to Windows, Mac ili Linux. Dalje je navela da “potiče” korisnike i administratore na preuzimanje ažuriranja.

No ne upozorava samo CISA na potrebu ažuriranja Google Chroma. Centar za internetsku sigurnost (CIS) neprofitna je organizacija koja radi na zaštiti privatnih i javnih organizacija od cyber prijetnji te je i ona upozorila na više ranjivosti koje Chrome posjeduje. Najteža od njih mogla bi omogućiti napadaču postizanje proizvoljnog izvršavanja koda u kontekstu preglednika. Što to zapravo znači? Odgovor ovisi o tome što je korisnik odobrio aplikaciji. U najgorem slučaju, napadač bi mogao vidjeti podatke, mijenjati podatke ili brisati podatke. Međutim, dosad nisu poznati slučajevi u kojima su ove ranjivosti bile iskorištene što ne znači da ne bi trebalo što prije ažurirati internetski preglednik. Sve što bi bilo potrebno da ih napadač iskoristi jest da navede korisnika da posjeti opasnu web stranicu.

Kao što je često slučaj, u ovoj se fazi ne otkrivaju precizni detalji ranjivosti kako bi se prvo omogućilo ažuriranje što većem broju korisnika. Međutim, ono što je poznato jest da postoje tri visoko opasne ranjivosti koje su otkrili vanjski istraživači kojima su dodijeljeni identifikacijski brojevi Zajedničke ranjivosti i izloženosti (CVE): CVE-2020-6450, CVE-2020-6451 i CVE-2020-6452. CVE-2020-6450 opisan je kao “use-after-free” ranjivost u WebAudiu, o čemu je izvijestio Man Yue Mo iz Semmle Security Research tima 17. ožujka. CVE-2020-6451 je još jedna “use-after-free” ranjivost u WebAudiu, koju je također izvijestio Man Yue Mo, ali pet dana ranije. O ranjivosi CVE-2020-6452, prema blogu o ažuriranjima za Google Chrome, izvijestio je korisnik tek poznat kao “asnine”, 9. ožujka te je riječ o “heap-buffer overflow” problemu.

Dodatnih pet sigurnosnih ranjivosti otkrio je Googleov interni sigurnosni tim kombinacijom unutarnjih revizija i “fuzzinga”. Fuzz testiranje je automatizirana metoda koja proizvodi kod s neočekivanim ulazima kako bi se otkrila potencijalna curenja ili rušenja koja bi akteri mogli iskoristiti. Točnu prirodu tih ranjivosti Google još nije otkrio. Najavili su da će se Chromovo ažuriranje pojaviti tijekom sljedećih dana i tjedana, ali i da ne biste trebali čekati da se vaš preglednik automatski ažurira. Da biste vidjeli koju verziju trenutno imate, idite na “Help” (Pomoć) | “About Google Chrome” (O Google Chromeu).