ב-4 ביולי 2022, גוגל פרסמה תיקון לטיפול באיום של CVE-2022-2294, פגיעות אבטחה שנמצאה בדפדפן האינטרנט שלה כרום.
גוגל הצהירה שהעדכון החדש הזה (גרסה 103.0.5060.114) יהיה זמין לכל משתמשי Chrome ברחבי העולם תוך מספר שבועות. ולמשתמשים הומלץ לעדכן את התוכנה שלהם ולהתקין את "תיקון האבטחה הקריטי" הזה בהקדם האפשרי כדי למנוע נפילה של קורבן לפגיעות זו.
זהו יום האפס הרביעי של Chrome לשנת 2022
למרות שפגיעות CVE-2022-2294 מנוצלת כעת, גוגל עדיין לא מפרסמת מידע רב בנוגע לאופן זיהויה. החברה רק פרסמה עדכון מהיר על גוגל כרום משחרר את הבלוג.
הפגיעות של CVE-2022-2294 כבר נוצלה על ידי גורמים זדוניים והתגלתה רק כאשר יאן ווג'טסק מצוות מודיעין האיומים של Avast דיווח על הפגם ב-1 ביולי.
איום זה קשור לליקוי בגלישה בתוך רכיב האינטרנט בזמן אמת (Web RTC) של Chrome, המעניק לדפדפן את יכולות התקשורת בזמן אמת שלו. החולשה הזו בטבע, הידועה גם בשם "ריסוק ערימות" או "חריפות ערמות", עלולה להוביל להתקפות מניעת שירות (DoS) מזיקות.
מידע על הפגיעות ככל הנראה נסתר כדי למנוע מפושעי סייבר ללמוד עליה יותר מדי. אבל אנחנו כן יודעים שזוהי כעת פגיעות יום האפס הרביעית שתוקנה השנה. חולשות קודמות כוללות:
- CVE-2022-0609 (14 בפברואר)
- CVE-2022-1096 (25 במרץ)
- CVE-2022-1364 (14 באפריל)
עדכן את Google Chrome בהקדם האפשרי
בגלל הניצול הספציפי הזה של יום אפס (מה הם מעללי יום אפס?) הוא בעל חומרה גבוהה מבחינת סיכון, עדכון דפדפן Chrome צריך להיות בראש סדר העדיפויות.
אם אתה משתמש במכשיר macOS, Linux או Windows, מומלץ להוריד את גרסה 103.0.5060.114. אם אתה משתמש במכשיר המופעל על ידי אנדרואיד, מומלץ לעדכן לגרסה 103.0.5060.71.
ברוב המקרים, Chrome יתקין את העדכון הזה באופן אוטומטי, אך לא יעשה זאת אם תכונת העדכון האוטומטי שלך מושבתת. בדוק את הגדרות הדפדפן שלך כדי לוודא אם אתה מוגדר לעדכונים אוטומטיים, או אם אתה צריך התקן את הגרסה החדשה ביותר של Chrome באופן ידני.
ניצול עתידי של יום אפס הם תמיד אפשרות
ככל שהזמן יעבור, אנו עשויים לראות פגיעויות עתידיות של יום אפס מתרחשות בדפדפן האינטרנט של Chrome. למרות שזה תמיד יהיה סיכון, התגובות המהירות של גוגל יש לקוות להפחית כל נזק שנגרם על ידי שחקנים זדוניים שמנצלים סוג זה של חולשה.
