Google Chrome nødopdatering – tryk opdater nu, selvom autoopdatering er aktiveret

Jeg har netop trykket opdater, selvom at jeg har autoopdatering aktiveret. Google har altså ikke opdateret min browser endnu selvom der er tale om en meget alvorlig og farlig fejl.

Google har i forgårs frigivet Chrome 100.0.4896.127 til Windows, Mac og Linux for at rette en høj sværhedsgrad nul-dages sårbarhed. Sårbarheden benyttes aktivt bruges af trusselsaktører i angreb jf. Google.

“Google er klar over, at der findes en udnyttelse til CVE-2022-1364 i omløb,”

sagde Google i en sikkerhedsrådgivning, der blev frigivet i dag.

Mens Google siger, at denne Chrome-opdatering vil rulle ud i løbet af de næste par dage / uger, kan brugerne modtage den med det samme ved at gå ind i Chrome-menuen > Hjælp > Om Google Chrome. Browseren vil også automatisk kontrollere for nye opdateringer og installere dem næste gang du lukker og genstarter Google Chrome.

Da denne fejl udnyttes aktivt i angreb, anbefales det kraftigt, at du udfører en manuel kontrol for nye opdateringer og genstarter browseren for at anvende sikkerhedsopdateringen.

“Det er dermed under al kritik at Google Chrome ikke opdaterer selvom man har aktiveret denne funktion,”

siger Michael Rasmussen, talsmand for ICARE Security A/S

 

Få detaljer afsløret

Den nul-dages fejl, der er rettet i dag, spores som CVE-2022-1364 og er en svaghed ved forvirring af høj sværhedsgrad i Chrome V8 JavaScript-motoren.

Mens skriveforvirringsfejl generelt fører til browsernedbrud efter vellykket udnyttelse ved at læse eller skrive hukommelse uden for buffergrænser, kan angribere også udnytte dem til at udføre vilkårlig kode.

Denne sårbarhed blev opdaget af Clément Lecigne fra Googles Threat Analysis Group, der rapporterede det til Google Chrome-teamet i går.

Mens Google sagde, at de har opdaget angreb, der udnytter denne nul-dag, det gav ikke yderligere detaljer om, hvordan disse angreb udføres.

“Adgang til fejloplysninger og links kan holdes begrænset, indtil et flertal af brugerne er opdateret med en rettelse,”

Det skriver Google på ovenstënde link.

Dette er den eneste sårbarhed, der er beskrevet i denne opdatering, hvilket indikerer, at Chrome 100.0.4896.127 blev skubbet ud som en nødopdatering for at løse dette problem.

Tredje Chrome nul-dags sårbarhed i år

Med denne opdatering har Google adresseret den tredje Chrome nul-dags sikkerhedsfejl siden starten af 2022.

De to foregående sårbarheder, der blev fundet i 2022, er angivet nedenfor.

Da denne nul-dag er kendt for at blive brugt i angreb, Det anbefales kraftigt at opdatere Google Chrome så hurtigt som muligt.

 

Scroll til toppen