JAV vyriausybė įspėjo federalinius darbuotojus įdiegti skubius gegužės mėnesio atnaujinimus arba nustoti naudotis Chrome naršykle. Jie nustatė terminus: pirmąjį atnaujinimą reikia įdiegti iki birželio 3 dienos, o antrąjį – iki birželio 6 dienos. Birželio 3 jau praėjo, tad pirmąjį atnaujinimą jau turėjote būti įsidiegę. Tai yra priminimas, kad per artimiausias 48 valandas būtinai turite įdiegti antrąjį atnaujinimą. Atnaujindami savo naršyklę, jūs pritaikysite visus tuo metu galimus pataisymus.
Kitos organizacijos turėtų daryti tą patį ir įpareigoti savo darbuotojus, taip pat ir asmeninius naudotojus, laikytis visų reikalavimų. Ne veltui „Google“ skubiai išleido skubias pataisas, skelbia portalas „Forbes“.
Reklamos blokatoriai
JAV vyriausybė įspėjimus pateikė per Kibernetinio saugumo ir infrastruktūros saugumo agentūrą, gegužės mėnesio „Google Chrome“ įspėjimus įtraukdama į savo katalogą „Known Exploited Vulnerabilities“ (KEV), kuriame pateikiama išsami informacija apie „pažeidžiamumus, kuriais buvo laisvai pasinaudota“.
Atrodo, kad birželio 3 d. „Chrome“ buvo svarbi diena. Tai buvo ne tik pirmųjų JAV vyriausybės atnaujinimų nutraukimo diena, bet ir diena, kai „Google“ pradėjo stabdyti daugelio „Manifest V2“ plėtinių diegimą, nes pradedama diegti „Manifest V3“.
Nors tai turės įtakos daugeliui kūrėjų ir įmonių, dėmesys daugiausia buvo skiriamas žalingam poveikiui, kuris turės įtakos reklamos blokatoriams, priimsiantiems sudėtingą apėjimą, kad veiktų taip, kaip dabar. Yra pavojus, kad vartotojai gali bandyti atidėti savo naršyklės atnaujinimą, kad išvengtų reklamos blokatorių problemų, tikrai nereikėtų taip elgtis – saugumo atnaujinimas yra labai svarbus.
Šį kartą „Google“ tai tikrai įgyvendins
Nors „Google“ nusipelno pagyrimo už greitį ir efektyvumą išleidžiant ir skelbiant gegužės mėnesio skubius atnaujinimus, „Manifest V2“ pakeitimas sukels daugiau nevienareikšmiškų naudotojų atsiliepimų. Kaip rašo „Ars Technica“, „apie labai prieštaringai vertinamą „Manifest V3“ sistemą buvo paskelbta dar 2019 m., tačiau visiškas perėjimas buvo atidėtas milijoną kartų. Visgi, dabar „Google“ sako, kad tikrai ketina jį įgyvendinti“.
Visa tai neturėtų sustabdyti naudotojų nuo skubaus atnaujinimo taikymo, jei jie to dar nepadarė. Viso pasaulio naudotojai ir toliau turi skubiai įsitikinti, kad įdiegė naujinimus. „Chrome“ bus atnaujinta automatiškai, tačiau naudotojai turi uždaryti ir vėl paleisti naršyklę, kad įsitikintų, jog atnaujinimas buvo visiškai pritaikytas.
Be to, birželio 3 d. „Chrome“ naudotojai, naršydami naujienų kanalus, pamatė nerimą keliančias antraštes, kai kriptovaliutų pardavėjas teigė praradęs 1 mln. dolerių po to, kai iš jo sistemos buvo pavogti „Chrome“ saugumo slapukai, siekiant apeiti jo prisijungimo ir 2 saugumo faktorių duomenis.
Vartotojai privalo žinoti du dalykus
Nors naujienos apie „Manifest V2“ gali klaidingai paskatinti „Chrome“ naudotojus atidėti atnaujinimus, tariamas „Binance“ kompromitavimas gali padaryti priešingai. Šioje tariamoje atakoje buvo naudojamas kenkėjiškas įskiepis, kuriuo iš vartotojo kompiuterio buvo išvilioti slapukai, atkartojantys jo prisijungimą kitame įrenginyje. Tai nėra „Chrome“ pažeidžiamumas, kurį gali ištaisyti bet kokia pataisa, todėl naudotojai turi žinoti du dalykus.
Pirmasis – atidžiai stebėti, kokius įskiepius ir plėtinius jie diegia į savo kompiuterius – galioja tos pačios tvarkymo taisyklės, kaip ir bet kokioms programoms, kurias galite įdiegti. Labai atidžiai stebėkite tokių programų šaltinį, nes viskas, ką įdiegiate, yra potenciali grėsmė.
Antrasis susijęs su „Chrome“ veikimo būdu. Galbūt pastaraisiais metais matėte naujienų apie ilgai atidėliotą „Google“ planą panaikinti slapukus, kurie seka naudotojus visame žiniatinklyje iš vienos svetainės į kitą. Šie slapukai yra pasaulinės internetinės rinkodaros mašinos varomoji jėga – jie praneša apie tai, kur lankotės ir ką darote, todėl reklamos gali būti nukreiptos į jūsų pomėgius ir silpnybes.
Slapukų vagystė
Yra ir draugiškesnė šių sekimo slapukų versija, ir šie sesijos slapukai užtikrina, kad jus prisimins, kai vėl apsilankysite svetainėje, ir, svarbiausia, kad jums nereikės kaskart iš naujo prisijungti. Visa tai užtikrina pranešimai „Prisiminti mane“ ir „Pasitikėti šia naršykle“.
Problema – kaip matyti iš šios naujausios ataskaitos – yra ta, kad pavogus šiuos slapukus galima atkartoti apsaugotą naudotojo seansą kitame įrenginyje. „Google“ įspėjo, kad daugybė naudotojų visame internete tampa slapukų vagystės kenkėjiškų programų aukomis, kurios suteikia įsilaužėliams prieigą prie jų žiniatinklio paskyrų. Kenkėjiškų programų kaip paslaugos (angl. Malware-as-a-Service, MaaS) operatoriai dažnai naudoja socialinę inžineriją slapukų vagystės kenkėjiškoms programoms platinti“.
Gera žinia ta, kad „Google“ turi pataisą, kuri netrukus turėtų būti parengta.
„Kuriame naujos žiniatinklio galimybės, vadinamos „Device Bound Session Credentials“ (DBSC), prototipą, kuris padės užtikrinti didesnį naudotojų saugumą nuo slapukų vagysčių, – balandį paskelbė „Google“. – Susiejant autentifikavimo sesijas su įrenginiu, DBSC siekiama sužlugdyti slapukų vagysčių pramonę, nes šių slapukų išviliojimas nebeturės jokios vertės.“
Gali perimti jūsų naršyklės ar įrenginio kontrolę
Bent jau kol kas „Chrome“ skubių atnaujinimų eiga sustabdyta, todėl dabar tinkamas metas paskelbti priminimus ir taikyti visus automatinius procesus, kurie užtikrins jūsų saugų naršymą internete.
„Google“ pripažino, kad dvi pažeidžiamosios vietos pagal CISA birželio 3 d. ir birželio 6 d. terminus yra žinomos, todėl ir buvo pradėti neatidėliotini atnaujinimai.
Pasinaudojęs abiem naršyklės spragomis, įsilaužėlis gali perimti platformos ar įrenginio kontrolę tiesiogiai arba kaip grandininės atakos dalį. Atminties pažeidžiamumai suteikia galimybę paleisti savavališką kodą arba destabilizuoti sistemą.
CISA nurodė federalinės vyriausybės darbuotojams „taikyti pažeidžiamumo mažinimo priemones pagal pardavėjo nurodymus arba nutraukti produkto naudojimą, jei tokių priemonių nėra“. Tai reiškia, kad reikia įsitikinti, ar „Chrome“ atnaujinimas yra įdiegtas. Nors CISA birželio 3 d. ir birželio 6 d. terminai konkrečiai taikomi JAV federalinėms agentūroms, tą patį daro ir visos kitos viešojo ir privataus sektoriaus organizacijos.
Įsitikinkite, kad laiku įdiegėte atnaujinimus
Jei jūsų sistema yra tokio amžiaus ar tipo, kad nebepalaiko „Chrome“ atnaujinimų, turėtumėte ištrinti naršyklę, o ne rizikuoti ir toliau ją naudojant.
Kitoms „Chrome“ nulinės dienos naršyklėms, kurios gegužės mėnesį pateko į KEV – CVE-2024-4947 ir CVE-2024-5274 – reikia atnaujinti arba nutraukti jų naudojimą atitinkamai iki birželio 10 d. ir birželio 16 d.
Akivaizdu, kad dabar įdiegus atnaujinimą turėtų būti užtikrinta, kad bus įgyvendintos visos švelninančios priemonės. Užtikrinkite, kad jūsų naršyklė būtų atnaujinta bent iki 125.0.6422.141/.142 „Windows“, „Mac“ ir 125.0.6422.141 „Linux“.
