|
针对 Google 及其超过 20 亿桌面 Chrome 用户来讲,这是噩梦般的1星期。美国政府现已在其 Chrome 漏洞中央目录中添加了第三个严重的零日安全威胁,这些漏洞已知是主动攻击背面的原由。
您需要保证您的浏览器已成功更新 - 这便是您要做的...
向数十亿 Chrome 用户发出多个“立即更新”警告
5 月 20 日更新,在 CISA 已知漏洞利用目录中添加了第三个 Google 漏洞,联邦公司被需求在 6 月 10 日之前更新其每一个 Chrome 实例。
针对 Chrome 浏览器来讲,这是多么美好的1星期啊。倘若您是默认运用 Chrome 做为桌面浏览器的数十亿人之一,那样六天内确认的三个被积极利用的漏洞的光学效果将是一个重点问题。确实如此——Chrome 显然受到了攻击。
所有三个漏洞现已添加到 CISA——美国网络安全和基本设备安全局的已知被利用漏洞 ( KEV ) 目录中。该目录列出了“已被广泛利用的漏洞……组织应运用 KEV 目录做为其漏洞管理优先级框架的输入。”
让您的浏览器自动更新是不足的,您需要经过一个简单的操作主动保证已安装更新,如下所述。
Chrome 的第1个“立即更新”警告于5 月 9 日发布,谷歌警告叫作,它“认识到存在 CVE-2024-4671 漏洞”。该漏洞是一个“释放后运用”问题,指向空出内存的指针不会被删除,因此呢可能被乱用。
但大都数用户还无认识到这个问题,第二次攻击就来了。5月 13 日,CVE-2024-4761 促进 Google 发出警告,叫作有人发掘了一个漏洞。这一次是一个影响 Chrome V8 JavaScript 引擎的“越界”内存漏洞。这种类型的问题使攻击者能够运用恶意制作的 HTML 页面攻击 Chrome。
越界问题可能会暴露不该供给的敏锐信息,同期还可能引起系统或软件崩溃,从而准许攻击者拜访该数据。
仅仅 48 小时后,即5 月 15 日,谷歌还警告叫作,“CVE-2024-4947 的漏洞存在于野外”。这是另一个内存问题,即“类型混淆”漏洞,它再次运用户遭受精心设计的 HTML 页面攻击。
当软件尝试拜访不兼容的资源而无安全网来捕捉危害时,就会出现类型混淆。该错误可能会使系统进入意外状态,从而诱发安全威胁。
所有这些漏洞都可能破坏浏览器或设备的稳定性,这本身就令人担忧,但一旦系统不稳定,亦可用于启用其他漏洞利用程序。
大都数用户都会将 Chrome 设置为自动更新,针对此类安全更新,它应该始终这般做。但这本身还不足。您应该始终完全关闭并重新起步 Chrome,以保证更新已完全安装。
思虑到六天内三个零日漏洞的令人担忧的状况,以及在如此短的时间内向如此多的系统安排多个软件版本的后勤工作,您应该今天手动关闭并重新起步 Chrome,期盼浏览器的噩梦周此刻就在结束。
即使您认为更新已然安装,它亦是一个很好的安全办法。
实质上,本周我会更进一步,并意见重新起步设备 - 倘若这不会引起您运行的其他软件显现太多辅助问题。
针对 Chrome 来讲,这应该不会导致太多问题。正如谷歌所解释的那样,Chrome“会保留您打开的选项卡和窗口,并在重新起步时自动重新打开它们”。但这不包含谷歌的准隐私浏览模式。 “当 Chrome 重新启动时,您的隐身窗口将不会重新打开。”
CISA 还警告说,前两个漏洞“可能会影响运用 Chromium 的多种网络浏览器,包含但不限于 Google Chrome、Microsoft Edge 和 Opera”。
美国联邦公司必须分别在 6 月 3 日、6 日和 10 日之前“按照供应商的指示应用缓解措施,或倘若缓解办法不可用,则停止运用该制品。”
那样,针对 Google 及其海量 Chrome 用户来讲,这噩梦般的1星期该怎样度过呢?谷歌遭受如此多次攻击并不奇怪,它是一个繁杂的平台,况且思虑到其桌面安装基本的广泛存在,它亦是一个攻击蜜罐。
针对攻击者认为将存在于目的设备上的任何软件的漏洞利用都是非常有价值的。所有这些都寓意着好人和暴徒都需要付出巨大的奋斗来寻找任何漏洞。咱们就到这儿了。
有点讽刺的是,就在 Chrome 的噩梦周结束时,谷歌发布了一份题为“更安全的替代方法”的白皮书,对微软进行了攻击,并意见“在与微软出现重大网络安全事件后,Google Workspace供给了更安全的选取。”
Chrome 不是 Workspace,白皮书重点关注繁杂的网络攻击,而不仅是利用漏洞。但咱们要记住,一者引起另一者。
除了细节之外,最少能够说,从视觉上看,机会有点尴尬。亦许公关分部能够将这事推迟几天。咱们尚不晓得攻击的程度以及漏洞的暴露是不是与任何特定活动相关。
不外好信息是,谷歌这次的紧急更新非常即时,乃至作为了全世界的头条资讯。
| 
发表于 2024-7-30 20:02:35
