Перейти к содержанию
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Почему нужно срочно обновить Google Chrome до версии 88.0.4324.150 | Блог Касперского

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

В Google Chrome обнаружена критическая уязвимость CVE-2021-21148, которую крайне рекомендуется закрыть как можно скорее — некие злоумышленники уже ее эксплуатируют. Уязвимы версии браузеров под все основные операционные системы для персональных компьютеров: Windows, MacOS и Linux. На всякий случай инструкция для обновления находится в конце нашего поста.

Что это за уязвимость и чем она опасна?

Согласно имеющейся на сегодняшний день информации, это уязвимость, при помощи которой можно провести атаку переполнения динамической памяти (Heap Overflow), в результате которой у злоумышленников получится выполнить на компьютере жертвы произвольный код. Для успешной эксплуатации этой уязвимости злоумышленникам достаточно создать специальную веб-страницу и заманить на нее жертву. В результате они могут захватить контроль над уязвимой системой.

Уязвим движок JavaScript V8, использующийся в браузере. Google получила информацию об этой уязвимости 24 января от исследователя Маттиаса Буеленса и уже 4 февраля компания выпустила патч, закрывающий ее. Неизвестные хакеры активно используют CVE-2021-21148 для атак.

Журналисты из ZDnet предполагают, что данная уязвимость может быть связана с недавними атаками северокорейских хакеров на экспертов по кибербезопасности. По крайней мере, принцип атак очень похож на схему эксплуатации CVE-2021-21148 — экспертов заманивали на сайт злоумышленников. Также на это намекает и схожесть дат обнаружения уязвимости и атак на экспертов. Однако непосредственного подтверждения этой версии пока нет.

Как обычно, Google не спешит раскрывать детали до тех пор, пока большинство активных пользователей Chrome не обновит свои браузеры. Это понятно — в противном случае количество злоумышленников, эксплуатирующих данную уязвимость, может вырасти.

Как обезопасить свой Google Chrome от CVE-2021-21148

  • Срочно обновите Google Chrome на всех своих компьютерах. Чтобы это сделать, нажмите кнопку с тремя точками в верхнем правом углу браузера и перейдите в Настройки -> О программе. После этого браузер должен обновиться автоматически.
  • Обязательно перезапустите браузер, чтобы обновление вступило в силу — это лучше сделать сразу. Не стоит откладывать перезапуск из-за переживания о потере нужных вкладок: современные версии Chrome обычно корректно восстанавливают вкладки после перезапуска.
  • Если в Настройки -> О программе вы видите номер версии Google Chrome 88.0.4324.150, значит ваш браузер уже обновился и уязвимость CVE-2021-21148 вам больше не страшна.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Срочно обновите PyTorch | Блог Касперского
      Автор KL FC Bot
      Исследователь обнаружил уязвимость в PyTorch, фреймворке машинного обучения с открытым исходным кодом. Уязвимость, зарегистрированная под номером CVE-2025-32434, относится к классу Remote Code Execution (RCE) и имеет рейтинг 9,3 по шкале CVSS, то есть категорируется как критическая. Эксплуатация CVE-2025-32434 при определенных условиях позволяет злоумышленнику запускать на компьютере жертвы, скачивающей ИИ-модель произвольный код. Всем, кто использует PyTorch для работы с нейросетями, рекомендуется как можно скорее обновить фреймворк до последней версии.
      Суть уязвимости CVE-2025-32434
      Фреймворк PyTorch, помимо всего прочего, позволяет сохранять уже обученные модели в файл, который хранит веса связей. И, разумеется, загружать их при помощи функции torch.load(). Обученные модели часто выкладываются в общий доступ через разнообразные публичные репозитории и теоретически в них могут быть вредоносные закладки. Поэтому официальная документация проекта в целях безопасности рекомендует использовать функцию torch.load() с параметром weights_only=True (в таком случае загружаются только примитивные типы данных: словари, тензоры, списки, и так далее).
      Уязвимость CVE-2025-32434 заключается в некорректно реализованном механизме десериализации при загрузке модели. Обнаруживший ее исследователь продемонстрировал, что атакующий может создать файл модели таким способом, что параметр weights_only=True приведет к прямо противоположному эффекту — при загрузке будет выполнен произвольный код, способный скомпрометировать среду, в котором запускается модель.
       
      View the full article
    • Краб
      Google Chrome
      Автор Краб
      Заметил что у каждого браузера есть своя тема, а у Chrome нету.
      Обсуждаем тут
       
    • Myk-88
      Вирус google\chrome\updater.exe
      Автор Myk-88
      Не посмотрев ткнул exe файл, скачанный случайно вместо книги и сразу заметил неровную работу кулеров, посмотрел в диспетчере задач C:\ProgramData\Google\Chrome\updater.exe каждые несколько секунд запускает Sandboxie Service и грузит процессор > 50%. Сам файл после удаления восстанавливается. Dr.Web CureIt!. не нашел вирус, MinerSearch нашел, удалил, но все также возвращается и грузит проц. Прошу помощи, логи прикрепил.
      CollectionLog-2025.04.03-22.07.zip
    • KL FC Bot
      Обновите продукты VMware ESXi | Блог Касперского
      Автор KL FC Bot
      4 марта Broadcom выпустила экстренные обновления для устранения трех уязвимостей — CVE-2025-22224, CVE-2025-22225 и CVE-2025-22226, которые затрагивают несколько продуктов VMware, включая ESXi, Workstation и Fusion. В бюллетене упоминается, что по информации Broadcom как минимум CVE-2025-22224 эксплуатируется в реальных атаках. Уязвимости позволяют выполнить «побег» из виртуальной машины и выполнить код в гипервизоре ESX (hypervisor escape). По информации из GitHub VMware, Microsoft Threat Intelligence Center первым обнаружил эксплойт в реальной среде и уведомил Broadcom. Но кто и против кого использовал этот эксплойт, компании не разглашают.
      Уязвимости по данным Broadcom затрагивают VMware ESXi 7.0-8.0, Workstation 17.x, vSphere 6.5-8, Fusion 13.x, Cloud Foundation 4.5-5.x, Telco Cloud Platform 2.x-5.x, Telco Cloud Infrastructure 2.x-3.x, хотя некоторые эксперты считают, что список затронутых продуктов несколько шире. В частности, более старые версии, например 5.5, тоже должны быть подвержены уязвимости, но патчи для них выпущены не будут, эти версии не поддерживаются. По имеющимся оценкам на конец недели, уязвимостям подвержены более 41 тысячи серверов ESXi, расположенных во всех частях света — больше всего в Китае, Франции, США, Германии, Иране и Бразилии.
      Какие ошибки устранены VMware
      Наиболее серьезная уязвимость CVE-2025-22224 в VMware ESXi и Workstation получила рейтинг CVSS 9.3. Она связана с переполнением кучи (heap overflow) в VMCI и позволяет злоумышленнику с локальными административными привилегиями на виртуальной машине выполнить код от имени процесса VMX на хосте (то есть в гипервизоре).
      Уязвимость CVE-2025-22225 в VMware ESXi (CVSS 8.2) позволяет злоумышленнику записать произвольный код в область ядра (arbitrary kernel write), то есть тоже подразумевает побег из «песочницы». CVE-2025-22226 является утечкой информации в HGFS (CVSS 7.1) и позволяет злоумышленнику с административными привилегиями на виртуальной машине извлекать содержимое памяти процесса VMX. Этой уязвимости подвержены VMware ESXi, Workstation и Fusion.
       
      View the full article
    • di.mailovich
      Почему в премиум версии Касперского для Андройд нет файерволла
      Автор di.mailovich
      Добрый день
      Обратил внимание что некоторые вендоры отказались от файерволла на Андройд в премиум версиях даже те у кого он был (аваст например) 
      Поясните пожалуйста вашу позицию. 
      Может быть бесполезность его без рут прав, или сложность установки правил для обычных пользователей или потому что толку от него нет кроме как резать рекламу блокируя выход в интернет некоторым приложениям или особенность именно операционной системы Андройд в которой нет острой необходимости в такой программе ? 
×
×
  • Создать...