Nebezpečná zranitelnost v Chromiu: Útok může začít bez jediného kliknutí
V jádru Chromia, na kterém je postavena celá řada prohlížečů – namátkou můžeme uvést například Chrome, Edge, Brave, Opera nebo Vivaldi –, je dosud neopravená zranitelnost. To, co může být pro vývojáře výhodou, zároveň přináší zděděné bezpečnostní problémy.
Google před pár dny omylem zveřejnil exploit, který útočí právě na tuto chybu. To může potenciálně ohrozit miliony uživatelů.
Podle zjištění bezpečnostní expertky Lyry Rebane se zranitelnost projevuje tím, že v některých případech stačí pouhá návštěva zmanipulované internetové stránky a prohlížeč naváže na pozadí trvalé spojení s cizím serverem. Jakákoliv interakce uživatele, například stažení obsahu či potvrzení akce, k tomu zjevně nejsou zapotřebí.
Mohlo by vás zajímat
USB kabel, který vás může okrást: Zákeřná novinka stojí jen 1 650 Kč a hackeři jsou z ní nadšení
Bezpečnost
Stačí navštívit stránku a prohlížeč se spojí s útočníkem
V popředí zájmu je funkce Browser Fetch. Stará se o to, aby prohlížeč i po zavření záložky internetové stránky nadále pokračoval ve stahování větších souborů. Právě tento proces může být zneužit k tomu, aby se prohlížeč – a s ním i počítač, na kterém běží – stal další jednotkou, zapojenou do cizí sítě.
Zařízení poté mohou zneužít zločinecké skupiny například k tajnému přenosu dat nebo realizaci útoků typu DDoS. Ty se často zneužívají ke shození některých stránek či služeb, a to hromadným spouštěním požadavků k přístupu, což vede k přetížení a následnému zablokování serverů.
Mohlo by vás zajímat
Google tuto chybu klasifikoval jako závažnou, přesto zůstala téměř čtyři roky bez opravy. Situace se změnila až ve chvíli, kdy byla informace o její existenci zveřejněna v Chromium Bug Trackeru, a to spolu s funkčním kódem (exploitem). Google příspěvek sice rychle odstranil, ale mezitím už se informace rozšířila dál.
Google později uvedl, že o problému ví a pracuje na opravě. Firma ale nevysvětlila, proč byl exploit zveřejněn dříve, než byla dostupná bezpečnostní záplata.
Zdroj: Shutter Speed / Unsplash
Rychlost aktualizací rozhoduje o naší bezpečnosti
Právě u takovýchto zranitelností prohlížečů často o míře rizika rozhoduje rychlost vydávání aktualizací. Bezpečnostní komunita zdůrazňuje, že opravy patří k nejúčinnějším prostředkům proti útokům z internetu. Vývojáři jimi uzavírají bezpečnostní mezery dříve, než je zločinci mohou hromadně zneužít.
Podle bezpečnostní expertky Rebane nejsou dlouhé čekací doby na opravy v Chromiu ničím neobvyklým. V tomto případě ale pravděpodobně hrálo roli to, že chyba přímo neumožňuje přístup k souborům, e-mailům nebo celému systému, a proto její opravě nebyla interně přikládána dostatečná priorita.
Zdroj: ArsTechnica
28 foto
