A Google és a Mozilla jelentős biztonsági frissítéseket adott ki böngészőihez, amelyekkel összesen több mint 70 sérülékenységet javítottak.
űA frissítések számos kritikus és magas kockázatú memóriakezelési hibát szüntetnek meg, amelyek egyes esetekben akár távoli kódfuttatást (Remote Code Execution – RCE) is lehetővé tehetnek.
Bár jelenleg egyik gyártó sem számolt be aktív kihasználásról, a böngészőket érintő sérülékenységek kiemelt célpontjai a kiberbűnözőknek és az államilag támogatott támadóknak, ezért a szakértők mielőbbi frissítést javasolnak.
A Google 33 sérülékenységet javított a Chrome-ban
A Google kiadta a Chrome legújabb verzióit:
- 149.0.7827.155 – Windows
- 149.0.7827.156 – macOS
- 149.0.7827.155 – Linux
A frissítés összesen 33 biztonsági hibát javít.
A Google közlése szerint ezek közül 32 sérülékenységet saját biztonsági szakemberei fedeztek fel, ami jól mutatja, hogy a vállalat folyamatosan vizsgálja a böngésző biztonságát még azelőtt, hogy a támadók kihasználhatnák a hibákat.
Hét kritikus sérülékenység is szerepel a javítások között
A javított hibák közül hét kritikus besorolást kapott.
Ezek közül hat úgynevezett „use-after-free” memóriakezelési hiba, amely az elmúlt évek egyik leggyakrabban kihasznált sérülékenységtípusa volt a böngészők ellen indított támadások során.
A hiba akkor következik be, amikor egy alkalmazás olyan memóriaterületet próbál használni, amelyet az operációs rendszer már felszabadított. Egy sikeres támadás során ez lehetőséget adhat:
- rosszindulatú kód futtatására,
- az alkalmazás összeomlasztására,
- vagy bizonyos biztonsági mechanizmusok megkerülésére.
A modern böngészők ugyan több védelmi réteggel rendelkeznek, de egy memóriakezelési sérülékenység más hibákkal kombinálva akár teljes rendszerkompromittáláshoz is vezethet.
További magas kockázatú hibák is javításra kerültek
A Chrome frissítése további 26 magas súlyosságú sérülékenységet is megszüntet.
A javítások többek között az alábbi hibatípusokat érintik:
- további use-after-free sérülékenységek,
- heap buffer overflow hibák,
- out-of-bounds read problémák,
- elégtelen adatellenőrzés,
- hibás biztonsági felhasználói felület,
- inicializálatlan memória használata,
- egyéb memóriakezelési problémák.
Az ilyen sérülékenységek különösen veszélyesek, mivel a böngészők nap mint nap nagy mennyiségű, nem megbízható tartalmat dolgoznak fel:
- weboldalakat,
- JavaScript kódokat,
- hirdetéseket,
- multimédiás fájlokat,
- valamint böngészőbővítményeket.
A támadók gyakran rosszindulatú weboldalak vagy fertőzött hirdetési hálózatok segítségével próbálják kihasználni ezeket a hibákat.
A Google egyelőre nem hozta nyilvánosságra a technikai részleteket, hogy ezzel is csökkentse annak esélyét, hogy a támadók gyorsan exploitokat készítsenek a még nem frissített rendszerek ellen.
A vállalat hangsúlyozta, hogy jelenleg nincs tudomása aktív kihasználásról.
A Mozilla kiadta a Firefox 152-es verzióját
A Mozilla szintén jelentős biztonsági frissítést adott ki.
A Firefox 152 összesen 40 sérülékenységet javít, amelyek közül 13 magas kockázatú besorolást kapott.
A javított hibák között szerepelnek:
- use-after-free memóriakezelési hibák,
- jogosultságkiterjesztési sérülékenységek,
- sandbox megkerülésére alkalmas hibák,
- határérték-kezelési problémák,
- Just-In-Time (JIT) fordító hibái,
- egyéb memóriabiztonsági problémák.
A Mozilla szerint több sérülékenység bizonyos körülmények között tetszőleges kód futtatását is lehetővé teheti.
A böngészők továbbra is a legfontosabb támadási felületek közé tartoznak
A modern böngészők ma már jóval többet jelentenek egyszerű internetes alkalmazásoknál.
Segítségükkel érjük el:
- a felhőszolgáltatásokat,
- vállalati alkalmazásokat,
- internetbankokat,
- e-mail rendszereket,
- együttműködési platformokat,
- valamint számos üzleti szolgáltatást.
Éppen ezért egy sikeres böngészőtámadás gyakran az első lépést jelenti egy nagyobb vállalati kompromittálás felé.
A kifinomult támadások során a kiberbűnözők több sérülékenységet láncolnak össze:
- memóriakezelési hiba kihasználása;
- a böngésző sandbox védelmének megkerülése;
- operációs rendszer szintű jogosultságemelés;
- tartós hozzáférés kialakítása.
Az ilyen támadási láncokat már több államilag támogatott csoport és zsarolóvírus-bandák is alkalmazták.
További Mozilla termékek is frissültek
A Firefox mellett a Mozilla biztonsági frissítést adott ki az alábbi termékekhez is:
- Firefox ESR,
- Thunderbird,
- Firefox iOS.
Különösen fontos az ESR (Extended Support Release) verziók frissítése, mivel ezeket sok vállalat használja hosszabb támogatási ciklusuk miatt.
A Thunderbird felhasználóinak is ajánlott a frissítés telepítése, hiszen több böngészőmotorhoz kapcsolódó sérülékenység az e-mail tartalmak megjelenítését is érintheti.
A mielőbbi frissítés továbbra is kulcsfontosságú
A böngészőket érintő sérülékenységek nyilvánosságra kerülése után a támadók gyakran visszafejtik a kiadott javításokat, hogy gyorsan működő exploitokat készítsenek a még nem frissített rendszerek ellen.
Ezért a biztonsági szakértők azt javasolják, hogy:
- telepítsék a Chrome és a Firefox legfrissebb verzióját;
- indítsák újra a böngészőt a frissítés befejezéséhez;
- engedélyezzék az automatikus frissítéseket;
- vállalati környezetben pedig ellenőrizzék, hogy minden kezelt eszköz megkapta-e a biztonsági javításokat.
Összegzés
A Google és a Mozilla összesen több mint 70 sérülékenységet javított a Chrome és a Firefox böngészőkben, köztük több kritikus memóriakezelési hibát is. Bár jelenleg egyik sérülékenység aktív kihasználásáról sincs hivatalos információ, a böngészők továbbra is a kibertámadások egyik legfontosabb célpontjai.
A gyors frissítés továbbra is az egyik leghatékonyabb védekezési módszer a távoli kódfuttatást, adatlopást vagy rosszindulatú programok telepítését célzó támadások ellen.
