4. července 2022 vydala společnost Google opravu, která řeší hrozbu CVE-2022-2294, zranitelnost zabezpečení nalezenou v jejím webovém prohlížeči Chrome.

Google uvedl, že tato nová aktualizace (verze 103.0.5060.114) bude k dispozici všem uživatelům Chrome po celém světě během několika týdnů. A uživatelům bylo doporučeno, aby aktualizovali svůj software a nainstalovali tuto „kritickou bezpečnostní opravu“ co nejdříve, aby se nestali obětí této zranitelnosti.

Toto je čtvrtý Chrome Zero-Day v roce 2022

Přestože je zranitelnost CVE-2022-2294 v současné době zneužívána, Google dosud nezveřejnil mnoho informací o tom, jak ji detekovat. Společnost pouze zveřejnila rychlou aktualizaci Google Chrome vydává blog.

Zranitelnost CVE-2022-2294 již byla zneužita škodlivými stranami a byla objevena, až když Jan Vojtešek z týmu Avast Threat Intelligence nahlásil chybu 1. července.

Tato hrozba je spojena s chybou přetečení haldy v komponentě Web Real-Time Communication (Web RTC) prohlížeče Chrome, která dává prohlížeči možnosti komunikace v reálném čase. Tato slabá stránka, známá také jako „rozbíjení haldy“ nebo „překročení haldy“, může vést ke škodlivým útokům typu denial-of-service (DoS).

Informace o zranitelnosti byly pravděpodobně zadrženy, aby se zabránilo kyberzločincům dozvědět se o ní příliš mnoho. Ale víme, že toto je nyní čtvrtá zero-day zranitelnost, která bude letos opravena. Mezi předchozí slabiny patří:

  • CVE-2022-0609 (14. února)
  • CVE-2022-1096 (25. března)
  • CVE-2022-1364 (14. dubna)

Aktualizujte Google Chrome co nejdříve

Protože tento konkrétní zero-day exploit (co jsou zero-day exploity?) je z hlediska rizika velmi závažná, aktualizace prohlížeče Chrome by měla být prioritou.

Pokud používáte zařízení se systémem macOS, Linux nebo WIndows, doporučujeme vám stáhnout si verzi 103.0.5060.114. Pokud používáte zařízení se systémem Android, doporučujeme aktualizaci na verzi 103.0.5060.71.

Ve většině případů Chrome tuto aktualizaci automaticky nainstaluje, ale neudělá to, pokud je funkce automatických aktualizací deaktivována. Zkontrolujte nastavení prohlížeče a ověřte, zda jsou automatické aktualizace nastaveny nebo zda je potřebujete nainstalovat nejnovější verzi Chrome ručně.

Budoucí využití Zero-Day je vždy možné

Postupem času se můžeme setkat s budoucími zranitelnostmi nultého dne ve webovém prohlížeči Chrome. I když to bude vždy riziko, rychlé reakce společnosti Google doufejme zmírní jakékoli škody způsobené zlomyslnými aktéry, kteří zneužívají tento druh slabosti.