Ha Windows, Mac vagy Linux operációs rendszeren használjuk a Chrome böngészőt, akkor azonnal frissítsük a böngészőt a legfrissebb verzióra, mivel a régi változat két sebből is vérzik.

A Google kiadta a népszerű Chrome böngésző 78.0.3904.87-es számú verzióját, mellyel két igen komoly, és aktívan kihasznált biztonsági hibát javítanak. A hibák részletezése nélkül a Google annyit osztott meg egy blogbejegyzésben, hogy azok use-after-free sérülékenységeket használnak ki, az egyik a Chrome audio összetevőjét érinti (CVE-2019-13720), míg a másikat a FDFium könyvtárban fedezték fel (CVE-2019-13721).

A use-after-free sérülékenység a memóriát érintő hiba, mely lehetővé teszi a memóriában lévő adat módosítását, ezzel pedig az arra nem jogosult felhasználónak is magasabb szintű jogosultságokat tudnak biztosítani. A támadók tehát magasabb fokú felhasználói jogosultságokat szerezhetnek a Chrome böngészőben csupán azáltal, hogy egy fertőzött weboldal látogatására veszik rá a felhasználót.

A támadást már használják a mindennapokban, egy koreai hírportált fertőztek meg a bűnözők, így azok a látogatók, akik sebezhető Chrome böngészővel olvasták az oldalról a híreket, maguk is megfertőződtek. Hogy pontosan mely hackercsoport követte el a támadást, még nem tudni, de a használt kód alapján a Lazarus csoportra gyanakodnak.

A hibát a 78.0.3904.87-es verziójú Chrome telepítésével lehet kiküszöbölni. A böngésző általában automatikusan értesíti a felhasználókat, hogy új verzió érhető el, de akinél ez nem jelenne meg, az a Chrome/About Google Chrome vagy Help/About Google Chrome menüpontnál indíthatja el a frissítési folyamatot.

Idén már két use-after-free sérülékenységet is felfedeztek a Chrome böngészőben, szeptember elején négy hasonló sérülékenységet javítottak (közülük egyik a teljes rendszer távoli átvételét tette lehetővé).

Forrás: The Hacker News

A frissítés lépései: