В браузере Google Chrome обнаружили сразу три уязвимости, две из них — так называемые уязвимости нулевого дня. Это значит, что они очень опасные просто потому, что хакеры воспользоваться ими могли, а разработчик о существовании "дыры" даже не подозревал.
Информацию об этом раскрыл сам Google. Но без особых деталей. Как минимум из соображений того, чтобы информацией не смогли воспользоваться вообще все злоумышленники. Известно лишь, что обе критические уязвимости позволяли хакерам использовать динамическую память Chrome для взлома компьютера. Причем проблемы были в версиях браузера сразу для всех операционных систем — и для Mac, и для Windows, и для Linux.
Google уже выпустил обновления, в которых уязвимости закрыты, но пока они доступны не для всех. Потому Google настоятельно рекомендует пользователям проверять, обновился ли их браузер, и если да, то еще и перезапустить программу. Без этого обновление не работает.
Что важно, Chrome сейчас — самый популярный браузер в мире, у него более двух миллиардов пользователей. Поэтому наверняка найдутся те, кто долго не будет обновляться. Особенно в корпоративной среде. Правда, доказательств того, что хакеры успешно использовали именно эти две опасные уязвимости, пока нет.
Впрочем, в Chrome "дыры" обнаруживают довольно часто — только за этот год там нашли 13 уязвимостей нулевого дня, и некоторые из них хакеры точно использовали. C другой стороны, в этом году вообще установлен рекорд по обнаружению именно таких уязвимостей — их нашли более 60 штук, а это вдвое больше, чем в 2020-м году.
Хорошо это или плохо — не очень понятно. Как пишет журнал Массачусетского технологического института, причин две.
Во-первых, на фоне массовой цифровизации всего и, главное, глобальных карантинов и удаленки стало больше хакеров. Соответственно, они активнее ищут уязвимости, спрос на которые, опять же, никуда не девается. На черном рынке за ранее неизвестную безопасникам брешь можно выручить миллионы долларов.
Скупают такие уязвимости серьезные хакерские группировки, в том числе связанные с правительствами разных стран. Зачастую не самых продвинутых — если верить авторам статьи, самостоятельно добывать уязвимости нулевого дня способны кибервойска разве что Китая и США.
Ну, а во-вторых, развиваются инструменты защиты, и безопасники сами быстрее находят "дыры" и закрывают их. С другой стороны, те 60 с лишним найденных уязвимостей — это то, о чем стало известно. Сколько еще не нашли — неведомо.
Успокаивает лишь то, что самой по себе уязвимости хакерам недостаточно, нужно еще уметь ею воспользоваться. А делать это с каждым годом становится все труднее, потому что растет уровень защищенности операционных систем. От того качественные хакерские инструменты теперь продают как сервис, по подписке, менее квалифицированным злоумышленникам. Получается замкнутый круг.
