Google julkaisi 4. heinäkuuta 2022 korjaustiedoston, jolla puututaan CVE-2022-2294:n uhkaan, joka on sen Chrome-verkkoselaimessa löydetty tietoturvahaavoittuvuus.
Google on ilmoittanut, että tämä uusi päivitys (versio 103.0.5060.114) on kaikkien Chromen käyttäjien saatavilla maailmanlaajuisesti muutaman viikon sisällä. Käyttäjiä on myös kehotettu päivittämään ohjelmistonsa ja asentamaan tämä "kriittinen tietoturvakorjaus" mahdollisimman pian, jotta he eivät joutuisi tämän haavoittuvuuden uhriksi.
Tämä on neljäs Chromen nollapäivä vuonna 2022
Vaikka CVE-2022-2294-haavoittuvuutta hyödynnetään parhaillaan, Google ei ole vielä julkistanut paljon tietoa sen havaitsemisesta. Yhtiö julkaisi vain nopean päivityksen Google Chromen julkaisublogi.
Haitalliset osapuolet ovat jo käyttäneet hyväkseen CVE-2022-2294-haavoittuvuutta, ja se havaittiin vasta, kun Jan Vojtesek Avast Threat Intelligence -tiimistä ilmoitti virheestä 1. heinäkuuta.
Tämä uhka liittyy ylivuotovirheeseen Chromen Web Real-Time Communication (Web RTC) -komponentissa, joka antaa selaimelle sen reaaliaikaiset viestintäominaisuudet. Tämä luonnossa esiintyvä heikkous, joka tunnetaan myös nimellä "kasan särkeminen" tai "kasan ylittyminen", voi johtaa haitallisiin palvelunestohyökkäuksiin (DoS).
Tietoa haavoittuvuudesta on todennäköisesti salattu, jotta kyberrikolliset eivät saisi tietää siitä liikaa. Mutta tiedämme, että tämä on nyt neljäs nollapäivän haavoittuvuus, joka korjataan tänä vuonna. Aikaisempia heikkouksia ovat mm.
- CVE-2022-0609 (14. helmikuuta)
- CVE-2022-1096 (25. maaliskuuta)
- CVE-2022-1364 (14. huhtikuuta)
Päivitä Google Chrome ASAP
Koska tämä tietty nollapäivän hyväksikäyttö (mitä ovat nollapäivän hyväksikäytöt?) on erittäin vakava riskin kannalta, joten Chrome-selaimen päivittämisen tulee olla etusijalla.
Jos käytät macOS-, Linux- tai WIndows-käyttöjärjestelmää, sinun kannattaa ladata versio 103.0.5060.114. Jos käytät Android-laitetta, on suositeltavaa päivittää versioon 103.0.5060.71.
Useimmissa tapauksissa Chrome asentaa tämän päivityksen automaattisesti, mutta ei tee niin, jos automaattinen päivitysominaisuus on poistettu käytöstä. Tarkista selaimesi asetuksista, oletko määrittänyt automaattiset päivitykset vai tarvitsetko niitä asenna Chromen uusin versio manuaalisesti.
Tulevaisuuden nollapäivän hyväksikäytöt ovat aina mahdollisia
Ajan myötä saatamme nähdä nollapäivän haavoittuvuuksia Chromen verkkoselaimessa. Vaikka tämä on aina riski, Googlen nopeat vastaukset toivottavasti lieventävät vahinkoa, jota tällaiset heikkoudet hyödyntävät pahantahtoiset toimijat aiheuttavat.
