Kriittinen tietoturvahaavoittuvuus Google Chromessa – päivitys välittömästi!
Intian kyberturvallisuusvirasto CERT-In on antanut korkean vakavuusasteen hälytyksen Google Chromen työpöytäversioihin liittyen. Useissa selaimen komponenteissa on löydetty haavoittuvuuksia, joita hyökkääjä voi hyödyntää pelkästään ohjaamalla käyttäjän haitalliselle verkkosivulle1.
Kuka on vaarassa?
Haavoittuvuudet koskevat Linux-, Windows- ja Mac-käyttäjiä, joilla on käytössä Chrome-versio vanhempi kuin:
137.0.7151.55 (Linux)
137.0.7151.55/56 (Windows ja Mac)
CERT-In on arvioinut tilanteen ”High”-riskiksi, sillä haavoittuvuuksien avulla hyökkääjä voi
kaataa selaimen,suorittaa haitallista koodia koneellasi,
tai käyttää selainta ponnahduslautana vakavampiin hyökkäyksiin.
Taustalla on muun muassa “use-after-free”-tyyppisiä bugeja selaimen Compositing- ja libvpx-komponenteissa.
Miten hyökkäys toimii?
Hyökkääjä voi hyödyntää näitä haavoittuvuuksia ohjaamalla käyttäjän pelkästään vierailemaan tietyllä verkkosivulla. Onnistuneen hyökkäyksen jälkeen selain voi kaatua, mutta pahimmillaan hyökkääjä voi ajaa omaa koodiaan järjestelmässäsi – eli ottaa koneesi haltuun ilman lupaa.
Miten suojaudut?
Päivitä Chrome välittömästi!
Uusin versio on jo julkaistu selaimen vakaassa päivityskanavassa. Tarkista päivitykset Chromen asetuksista (Ohje → Tietoja Google Chromesta), ja käynnistä selain uudelleen.
Päivitys koskee kaikkia työpöytäkäyttäjiä – niin yksityisiä käyttäjiä kuin yrityksiäkin. Päivitä myös organisaation kaikki koneet mahdollisimman nopeasti.
