У Chrome знайшли 32 діри для хакерів: Google каже, що все ок. Що ж робити?
- 24 травня до браузера Google Chrome вийшло масштабне оновлення, яке усуває аж 32 вразливості безпеки.
- Найважливіші виправлення функцій, які можуть надавати доступ хакерам до даних користувачів.
- У дослідженні ефективності систем виявлення та блокування фішингових сайтів Google Chrome проявив себе найгірше, у порівнянні з конкурентами.
Найпопулярніший вебпереглядач Google Chrome оновив систему безпеки, виправивши понад 30 вразливостей. Найбільш критична діра була пов’язана з функцією, що надає доступ до структурованих даних, якою могли зловживати хакери. У Google кажуть, що з їхніми технологіями боротьби з фішингом усе гаразд, утім дослідження показують, що насправді вони не достатньо ефективні.
Заборона розповідає подробиці масштабного оновлення безпеки найпопулярнішого браузера у світі.
Google Chrome 102: деталі оновлення
24 травня 2022 року компанія Google випустила велике оновлення для браузера Chrome, яким виправила 32 вразливості системи безпеки. Одна з дірок (CVE-2022-1853) має статус критичної та стосується функції IndexedDB, яка забезпечує швидкий доступ до структурованих даних.
Як пояснюють у компанії Malwarebytes, яка спеціалізується на кібербезпеці, IndexedDB — це база даних, яка є унікальною для кожного джерела, наприклад, домену чи субдомену сайту, доступ до якої має бути обмежений доступ, оскільки цим шляхом можуть користуватися хакери.
«Зловмисники можуть створювати спеціальні фішингові вебсайти і заволодівати браузерами відвідувачів, маніпулюючи інтерфейсом IndexedDB», — пояснює працівник відділу виявлення шкідливих програм Malwaebytes Пітер Арнц.
Читати більше новин в TelegramІнші діри у безпеці Google Chrome були оцінені нижчими рівнями загроз (вісім — високий, дев’ять — середній, решта — низький). Не усі вони пов’язані з проблемами зберігання персональних даних користувачів, але в цілому увесь комплекс заходів має відчутно покращити захист від загрозливих дій зловмисників.
Зважаючи на характер вразливостей, не варто чекати поки оновлення завантажиться автоматично протягом кількох днів, або навіть тижнів. Оновити браузер можна і самостійно. Для цього треба просто перейти за шляхом: Довідка — Про Google Chrome, і система перевірить наявність свіжих оновлень.
Актуальні версії патчів для операційних систем (на 26.05.2022):
- 102.0.5005.61, 62 або 63 (для Windows);
- 102.0.5005.61 (для Mac та Linux).
Вразливість браузерів до фішингових атак: дослідження Which?
Британський проєкт Which?, який займається споживчими дослідженнями у сфері послуг, провів тест систем безпеки веббраузерів на можливості виявлення та блокування шкідливих ресурсів.
Дослідження відбувалося у такий спосіб: відкривалися 800 свіжо виявлених фішингових сайтів і перевірялося, як на них реагують системи безпеки браузерів. Так кіберфахівці хотіли з’ясувати, на скільки швидко вони підтягують інформацію із загальної бази даних про шкідливі ресурси, а також на скільки ефективно вони самостійно ідентифікують загрози, про виявлення яких сторонні ресурси ще не повідомляли.
Найменшу ефективність у боротьбі з фішингом, за даними Which?, проявив саме Google Chrome. При чому як на операційній системі Windows, так і на Mac. Ось рейтинг вебпереглядачів за кількістю заблокованих шкідливих сайтів (у відсотках):
Windows:
- Mozilla Firefox (85%);
- Microsoft Edge (82%);
- Opera (56%);
- Google Chrome (28%).
Mac:
- Mozilla Firefox (78%);
- Apple Safari (77%);
- Opera (56%);
- Google Chrome (25%).
Утім у Google кажуть, що дані дослідження Which? є неточними, оскільки протягом багатьох років компанія ділилася з конкурентами своїми технологіями боротьби з фішингом і, на їхню думку, не може такого бути, щоб існував такий великий розрив.
«Вже протягом більше 10 років Google допомагає встановлювати стандарти боротьби з фішингом і безплатно надає свої базові технології для інших вебпереглядачів. Google і Mozilla часто співпрацюють, щоб покращити безпеку інтернету, і Firefox покладається в першу чергу на API безпечного перегляду від Google. Малоймовірно, що браузери, які використовують майже ту саму технологію для виявлення фішингу, суттєво відрізнятимуться за рівнем захисту, який вони пропонують. Тому ми скептично ставимося до висновків цього дослідження», — відповіли розробники Google Chrome на запит ІТ-експерта Дейві Віндера.
Раніше Заборона розповідала про спеціальний фонд від Google на суму в $5 000 000, який має на меті підтримати українські стартапи в умовах війни.
Читати більше новин в Telegram