• tv3.lt antras skaitomiausias lietuvos naujienu portalas

REKLAMA
Komentuoti
Nuoroda nukopijuota
DALINTIS

Gegužė „Google Chrome“ ir jo daugiau nei 2 milijardams vartotojų buvo mėnuo, kurį norisi pamiršti: per 10 dienų buvo aptikti keturi kritiniai saugumo pažeidimai ir paskelbti skubūs atnaujinimai, privertę suskubti daugybę internautų. Įsitikinkite, kad laiku atnaujinote savo naršyklę – tam turite vos dvi dienas.

Gegužė „Google Chrome“ ir jo daugiau nei 2 milijardams vartotojų buvo mėnuo, kurį norisi pamiršti: per 10 dienų buvo aptikti keturi kritiniai saugumo pažeidimai ir paskelbti skubūs atnaujinimai, privertę suskubti daugybę internautų. Įsitikinkite, kad laiku atnaujinote savo naršyklę – tam turite vos dvi dienas.

REKLAMA

JAV vyriausybė įspėjo federalinius darbuotojus įdiegti skubius gegužės mėnesio atnaujinimus arba nustoti naudotis Chrome naršykle. Jie nustatė terminus: pirmąjį atnaujinimą reikia įdiegti iki birželio 3 dienos, o antrąjį – iki birželio 6 dienos. Birželio 3 jau praėjo, tad pirmąjį atnaujinimą jau turėjote būti įsidiegę. Tai yra priminimas, kad per artimiausias 48 valandas būtinai turite įdiegti antrąjį atnaujinimą. Atnaujindami savo naršyklę, jūs pritaikysite visus tuo metu galimus pataisymus.

Kitos organizacijos turėtų daryti tą patį ir įpareigoti savo darbuotojus, taip pat ir asmeninius naudotojus, laikytis visų reikalavimų. Ne veltui „Google“ skubiai išleido skubias pataisas, skelbia portalas „Forbes“.

REKLAMA
REKLAMA

Reklamos blokatoriai

JAV vyriausybė įspėjimus pateikė per Kibernetinio saugumo ir infrastruktūros saugumo agentūrą, gegužės mėnesio „Google Chrome“ įspėjimus įtraukdama į savo katalogą „Known Exploited Vulnerabilities“ (KEV), kuriame pateikiama išsami informacija apie „pažeidžiamumus, kuriais buvo laisvai pasinaudota“.

REKLAMA

Atrodo, kad birželio 3 d. „Chrome“ buvo svarbi diena. Tai buvo ne tik pirmųjų JAV vyriausybės atnaujinimų nutraukimo diena, bet ir diena, kai „Google“ pradėjo stabdyti daugelio „Manifest V2“ plėtinių diegimą, nes pradedama diegti „Manifest V3“.

Nors tai turės įtakos daugeliui kūrėjų ir įmonių, dėmesys daugiausia buvo skiriamas žalingam poveikiui, kuris turės įtakos reklamos blokatoriams, priimsiantiems sudėtingą apėjimą, kad veiktų taip, kaip dabar. Yra pavojus, kad vartotojai gali bandyti atidėti savo naršyklės atnaujinimą, kad išvengtų reklamos blokatorių problemų, tikrai nereikėtų taip elgtis – saugumo atnaujinimas yra labai svarbus.

REKLAMA
REKLAMA

Šį kartą „Google“ tai tikrai įgyvendins

Nors „Google“ nusipelno pagyrimo už greitį ir efektyvumą išleidžiant ir skelbiant gegužės mėnesio skubius atnaujinimus, „Manifest V2“ pakeitimas sukels daugiau nevienareikšmiškų naudotojų atsiliepimų. Kaip rašo „Ars Technica“, „apie labai prieštaringai vertinamą „Manifest V3“ sistemą buvo paskelbta dar 2019 m., tačiau visiškas perėjimas buvo atidėtas milijoną kartų. Visgi, dabar „Google“ sako, kad tikrai ketina jį įgyvendinti“.

REKLAMA
REKLAMA
REKLAMA

Visa tai neturėtų sustabdyti naudotojų nuo skubaus atnaujinimo taikymo, jei jie to dar nepadarė. Viso pasaulio naudotojai ir toliau turi skubiai įsitikinti, kad įdiegė naujinimus. „Chrome“ bus atnaujinta automatiškai, tačiau naudotojai turi uždaryti ir vėl paleisti naršyklę, kad įsitikintų, jog atnaujinimas buvo visiškai pritaikytas.

Be to, birželio 3 d. „Chrome“ naudotojai, naršydami naujienų kanalus, pamatė nerimą keliančias antraštes, kai kriptovaliutų pardavėjas teigė praradęs 1 mln. dolerių po to, kai iš jo sistemos buvo pavogti „Chrome“ saugumo slapukai, siekiant apeiti jo prisijungimo ir 2 saugumo faktorių duomenis.

REKLAMA

Vartotojai privalo žinoti du dalykus

Nors naujienos apie „Manifest V2“ gali klaidingai paskatinti „Chrome“ naudotojus atidėti atnaujinimus, tariamas „Binance“ kompromitavimas gali padaryti priešingai. Šioje tariamoje atakoje buvo naudojamas kenkėjiškas įskiepis, kuriuo iš vartotojo kompiuterio buvo išvilioti slapukai, atkartojantys jo prisijungimą kitame įrenginyje. Tai nėra „Chrome“ pažeidžiamumas, kurį gali ištaisyti bet kokia pataisa, todėl naudotojai turi žinoti du dalykus.

REKLAMA

Pirmasis – atidžiai stebėti, kokius įskiepius ir plėtinius jie diegia į savo kompiuterius – galioja tos pačios tvarkymo taisyklės, kaip ir bet kokioms programoms, kurias galite įdiegti. Labai atidžiai stebėkite tokių programų šaltinį, nes viskas, ką įdiegiate, yra potenciali grėsmė.

Antrasis susijęs su „Chrome“ veikimo būdu. Galbūt pastaraisiais metais matėte naujienų apie ilgai atidėliotą „Google“ planą panaikinti slapukus, kurie seka naudotojus visame žiniatinklyje iš vienos svetainės į kitą. Šie slapukai yra pasaulinės internetinės rinkodaros mašinos varomoji jėga – jie praneša apie tai, kur lankotės ir ką darote, todėl reklamos gali būti nukreiptos į jūsų pomėgius ir silpnybes.

REKLAMA
REKLAMA
REKLAMA

Slapukų vagystė

Yra ir draugiškesnė šių sekimo slapukų versija, ir šie sesijos slapukai užtikrina, kad jus prisimins, kai vėl apsilankysite svetainėje, ir, svarbiausia, kad jums nereikės kaskart iš naujo prisijungti. Visa tai užtikrina pranešimai „Prisiminti mane“ ir „Pasitikėti šia naršykle“.

Problema – kaip matyti iš šios naujausios ataskaitos – yra ta, kad pavogus šiuos slapukus galima atkartoti apsaugotą naudotojo seansą kitame įrenginyje. „Google“ įspėjo, kad daugybė naudotojų visame internete tampa slapukų vagystės kenkėjiškų programų aukomis, kurios suteikia įsilaužėliams prieigą prie jų žiniatinklio paskyrų. Kenkėjiškų programų kaip paslaugos (angl. Malware-as-a-Service, MaaS) operatoriai dažnai naudoja socialinę inžineriją slapukų vagystės kenkėjiškoms programoms platinti“.

REKLAMA

Gera žinia ta, kad „Google“ turi pataisą, kuri netrukus turėtų būti parengta.

„Kuriame naujos žiniatinklio galimybės, vadinamos „Device Bound Session Credentials“ (DBSC), prototipą, kuris padės užtikrinti didesnį naudotojų saugumą nuo slapukų vagysčių, – balandį paskelbė „Google“. – Susiejant autentifikavimo sesijas su įrenginiu, DBSC siekiama sužlugdyti slapukų vagysčių pramonę, nes šių slapukų išviliojimas nebeturės jokios vertės.“

REKLAMA

Gali perimti jūsų naršyklės ar įrenginio kontrolę

Bent jau kol kas „Chrome“ skubių atnaujinimų eiga sustabdyta, todėl dabar tinkamas metas paskelbti priminimus ir taikyti visus automatinius procesus, kurie užtikrins jūsų saugų naršymą internete.

„Google“ pripažino, kad dvi pažeidžiamosios vietos pagal CISA birželio 3 d. ir birželio 6 d. terminus yra žinomos, todėl ir buvo pradėti neatidėliotini atnaujinimai.

REKLAMA
REKLAMA
REKLAMA

Pasinaudojęs abiem naršyklės spragomis, įsilaužėlis gali perimti platformos ar įrenginio kontrolę tiesiogiai arba kaip grandininės atakos dalį. Atminties pažeidžiamumai suteikia galimybę paleisti savavališką kodą arba destabilizuoti sistemą.

CISA nurodė federalinės vyriausybės darbuotojams „taikyti pažeidžiamumo mažinimo priemones pagal pardavėjo nurodymus arba nutraukti produkto naudojimą, jei tokių priemonių nėra“. Tai reiškia, kad reikia įsitikinti, ar „Chrome“ atnaujinimas yra įdiegtas. Nors CISA birželio 3 d. ir birželio 6 d. terminai konkrečiai taikomi JAV federalinėms agentūroms, tą patį daro ir visos kitos viešojo ir privataus sektoriaus organizacijos.

REKLAMA

Įsitikinkite, kad laiku įdiegėte atnaujinimus

Jei jūsų sistema yra tokio amžiaus ar tipo, kad nebepalaiko „Chrome“ atnaujinimų, turėtumėte ištrinti naršyklę, o ne rizikuoti ir toliau ją naudojant.

Kitoms „Chrome“ nulinės dienos naršyklėms, kurios gegužės mėnesį pateko į KEV – CVE-2024-4947 ir CVE-2024-5274 – reikia atnaujinti arba nutraukti jų naudojimą atitinkamai iki birželio 10 d. ir birželio 16 d.

Akivaizdu, kad dabar įdiegus atnaujinimą turėtų būti užtikrinta, kad bus įgyvendintos visos švelninančios priemonės. Užtikrinkite, kad jūsų naršyklė būtų atnaujinta bent iki 125.0.6422.141/.142 „Windows“, „Mac“ ir 125.0.6422.141 „Linux“.

REKLAMA
REKLAMA
REKLAMA
REKLAMA
REKLAMA
REKLAMA
REKOMENDUOJAME
rekomenduojame
TOLIAU SKAITYKITE
× Pranešti klaidą
SIŲSTI
Į viršų