CERT.GOV.PL poleca nowe krytyczne aktualizacje zabezpieczeń przeglądarek

Najnowsza aktualizacja Google Chrome naprawia luki w systemie bezpieczeństwa, które wykrył użytkownik wyszukiwarki. Google prowadzi program wynagradzania badaczy spoza firmy, którym udało się wykryć usterki. 

Błąd oznaczono jako krytyczny. Inne błędy w Chrome wykrywane są dzięki pomocy programów AddressSanitizer, MemorySanitizer lub Control Flow Integrity. Aktualizacja Chrome 48.0.2564.116 obejmuje program Windows, Mac oraz Linux. „Wykryte podatności mogą umożliwić osobie atakującej m.in. przejęcie kontroli nad podatnym systemem” – informują specjaliści z CERT.GOV.PL.

Google ostatnimi czasy wypuszcza wiele aktualizacji. Kilka dni wcześniej pojawiła się wersja 48.0.2564.109, która poprawiała sześć luk w bezpieczeństwie. Odkrywcy tamtych usterek zarobili 16 tys. dolarów. Widać tym samym, jak wysoko firma wyceniła ostatni wskazany błąd. Za wykrycie tej pomyłki Google zapłaciło ponad 25 tys. dolarów. Badacz pragnął pozostać anonimowy. Zazwyczaj nagrody oscylują w okolicach 15 tys. dolarów.

Wysoka nagroda jest tym bardziej ciekawa, że tym razem aktualizacja dotyczy tylko jednej wady. Pozwala ona atakującym obejść regułę tego samego pochodzenia (Same – Origin Policy) i wyjść poza system „piaskownic” w Google Chrome, co może mieć bardzo poważne konsekwencje.

Nowe aktualizacje przygotowali też eksperci z Mozilla Firefox. Najnowsze biuletyny bezpieczeństwa zawierają poprawki dla Firefox oraz Firefox ESR. „Podatności wykryte w poprzednich wersjach oprogramowania mogą umożliwić osobie atakującej przejęcie kontroli nad podatnym systemem” – informują pracownicy CERT.GOV.PL.

W wypadku Firefoxa mamy do czynienia z wersją 44.0.2. Dotyczy on jednego błędu zaklasyfikowanego jako „krytyczny”. Wykrył go Jason Pang z portalu OneSignal. Zauważył on, że wtyczki odpowiedzialne za mechanizmy bezpieczeństwa mogą zostać łatwo skorumpowane dzięki wykorzystaniu  mechanizmu Service Workers (odpowiedzialnemu za przechwytywanie wywołań sieciowych). To pozwalało stronom ze złośliwym oprogramowaniem obejść regułę tego samego pochodzenia wykorzystując wtyczkę Flash.

Aktualizacja Firefox ESR 38.6.1 również dotyczy jednej krytycznej luki w systemie bezpieczeństwa. Chodzi o złośliwą czcionkę Graphite, która może omijać weryfikację wewnętrznych parametrów w bibliotece Graphite, co może skutkować przejęciem kontroli nad komputerem przez atakującego.

Linki do wszystkich aktualizacji znajdziemy na stronie CERT.GOV.PL, który działa w strukturze Departamentu Bezpieczeństwa Teleinformatycznego ABW. 

Zgodnie z przyjętą Polityką Ochrony Cyberprzestrzeni RP, w zakresie realizacji zadań związanych z bezpieczeństwem cyberprzestrzeni RP, Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL pełni rolę głównego zespołu CERT w odniesieniu do administracji rządowej i sfery cywilnej. Podstawowym jego zadaniem jest zapewnianie i rozwijanie zdolności jednostek organizacyjnych administracji publicznej Rzeczypospolitej Polskiej do ochrony przed cyberzagrożeniami.
Realizuje on jednocześnie zadania głównego narodowego zespołu odpowiadającego za koordynację procesu obsługi incydentów komputerowych w obszarze cyberprzestrzeni RP (CRP).
Stanowi poziom II-gi Krajowego Systemu Reagowania na Incydenty Komputerowe w CRP.