Ennakoivana kyberturvallisuustoimena Google on vastannut nopeasti tietoturvahaasteisiin julkaisemalla kriittisiä päivityksiä Chromeen. Nämä päivitykset ovat vastauksena kriittisen nollapäivän haavoittuvuuden tunnistukseen ja hyödyntämiseen, joka on merkitty nimellä CVE-2024-0519. Tämä on merkittävä tapahtuma online-tietoturvaympäristössä vuoden alusta lähtien.
Yritys a julkaistu turvallisuustiedote tiistaina, jossa korostettiin uhan välitöntä merkitystä ja nopean toiminnan tarvetta. Päivitykset on jaettu Chromen Stable Desktop -kanaville, ja ne tavoittavat käyttäjät Windowsissa (versiot 120.0.6099.224/225), Macissa (120.0.6099.234) ja Linuxissa (120.0.6099.224). Tämä päivitysten nopea käyttöönotto, joka saavutettiin alle viikossa ongelman ilmoittamisen jälkeen, osoittaa Googlen sitoutumisen käyttäjiensä suojaamiseen.
Googlen mukaan päivitys saattaa kestää jonkin aikaa ennen kuin se tavoittaa kaikki käyttäjät, mutta olen jo onnistunut asentamaan sen, joten sinun pitäisi pystyä tekemään samoin. Lisäksi Chrome tarjoaa automaattisen päivitysominaisuuden, jonka avulla käyttäjät voivat saada uusimmat tietoturvaparannukset ilman manuaalista puuttumista.
Haavoittuvuutta hyödynnettiin aktiivisesti Internetissä
Nollapäivän haavoittuvuus (CVE-2024-0519) sisältää vakavan rajojen ulkopuolisen muistin käyttöongelman Chromen V8 JavaScript -moottorissa. Hyökkääjät voivat hyödyntää tätä tietoturvavirhettä päästäkseen käsiksi arkaluonteisiin tietoihin tai aiheuttaakseen kriittisiä järjestelmävirheitä. Tietoturvastandardien organisaatio MITER kuvailee, että tämä haavoittuvuus voi johtaa segmentointivirheisiin tai muistipuskurin ylivuotoon.
Suoran riskin lisäksi CVE-2024-0519 voi ohittaa suojamekanismit, kuten ASLR, lisäämällä koodin suorittamisen riskiä muiden haavoittuvuuksien kautta.
Google, joka on tietoinen tämän haavoittuvuuden käytöstä hyökkäyksissä, pitää lisätiedot piilossa odottaessaan useimpien käyttäjien päivitystä. Lisäksi yritys korjasi muita V8:n haavoittuvuuksia, mukaan lukien rajojen ulkopuolinen kirjoittaminen (CVE-2024-0517) ja tyyppisekaannus (CVE-2024-0518), jotka saattoivat mahdollistaa mielivaltaisen koodin suorittamisen vaarantuneissa laitteissa.
Viime vuonna Google korjasi kahdeksan Chromen nollapäivän haavoittuvuutta, joilla oli merkittävä vaikutus verkkoyhteisöön. Joitakin näistä haavoittuvuuksista, kuten CVE-2023-4762, on käytetty haavoittuvien ryhmien, mukaan lukien toimittajien ja toisinajattelijoiden, valvontaan, mikä osoittaa kyberturvallisuuden jatkuvan merkityksen.
