Indias Computer Emergency Response Team (Cert-In) har utstedt et høyrisikovarsel angående en rekke sårbarheter identifisert i Google Chrome-operativsystemet. I sin siste sikkerhetsrådgivning datert 8. februar 2024, merket som CIVN-2024-0031, avslørte myndighetenes forskningsteam at de identifiserte sårbarhetene utgjør betydelige risikoer for brukere av Google Chrome OS-versjoner før 114.0.5735.350 (plattformversjon: 15037.90. ) på LTS-kanalen.
CERT-In uttaler at disse sårbarhetene har potensial til å bli «utnyttet av en ekstern angriper til å utføre vilkårlig kode, få forhøyede privilegier, omgå sikkerhetsrestriksjoner eller forårsake tjenestenektforhold på det målrettede systemet.»
Hvilken risiko utgjør dette for brukerne?
- Bruk etter gratis i sidepanelsøk: Dette sikkerhetsproblemet tillater utnyttelse av minnelekkasjer i sidepanelets søkefunksjon, noe som kan føre til vilkårlig kjøring av kode eller omgåelse av sikkerhetstiltak.
- Utilstrekkelig datavalidering i utvidelser: Utilstrekkelig validering av inndata i utvidelser gir opphav til denne sårbarheten, og skaper en mulighet for angripere til å utføre ondsinnede handlinger på berørte systemer.
Cert-In sier i sårbarhetsnotatet at eksterne angripere kan utnytte disse svakhetene ved å lokke intetanende ofre til å besøke spesiallagde nettsider. Etter å ha besøkt disse utformede sidene vil sårbarheter utløses som til slutt vil tillate angripere å hacke intetanende brukere.
For å beskytte mot disse sårbarhetene anbefaler Cert-In på det sterkeste at brukere holder seg oppdatert med den nyeste versjonen av Google Chrome som inkluderer sikkerhetsrettinger fra Google.
Brukere bør oppdatere sine Google Chrome OS-installasjoner til versjon 114.0.5735.350 (eller nyere) på LTS-kanalen. Disse oppdateringene inneholder oppdateringer som reduserer de identifiserte svakhetene og vil gradvis forbedre sikkerheten til systemet.
CERT-In-initiativet
I mellomtiden er CERT-In aktivt engasjert i «Cyber Swachhta Fortnight» som vil finne sted fra 1. til 15. februar 2024. Hovedmålet med dette initiativet er å forbedre den digitale sikkerheten til nasjonen ved å beskytte cyberspace fra botnett som har potensial til å infisere og kompromittere sluttbrukersystemer.
I jakten på dette målet har CERT-In introdusert «Cyber Swachhta Kendra» (CSK), som gir eScan Botnet-skanning og rengjøringsverktøy utviklet for bærbare datamaskiner, stasjonære datamaskiner og smarttelefoner. Dette verktøysettet er et samarbeid med eScan, en pålitelig leverandør av cybersikkerhetsløsninger. Ved å utstyre innbyggerne med et robust verktøy, kan de nå skanne og rense enhetene sine, og herde dem mot botnett-infeksjoner.
«Ond alkoholelsker. Twitter-narkoman. Fremtidig tenåringsidol. Leser. Matelsker. Introvert. Kaffeevangelist. Typisk baconentusiast.»