Indický tým pro reakce na kybernetické incidenty vydal upozornění, které se týká milionů uživatelů dvou nejpoužívanějších prohlížečů na světě. Podle zveřejněné zprávy se v aktuálních verzích Google Chrome a Microsoft Edge objevilo hned několik zranitelností označených jako vysoce rizikové. Výskyt chyb je potvrzený na systémech Windows, macOS i Linux, což podtrhuje jejich závažnost.

CERT-In upozorňuje, že jde o chyby, které mohou v extrémním případě umožnit spuštění cizího kódu na napadeném počítači. Pokud by útočník slabinu správně zneužil, dokázal by obejít některé bezpečnostní mechanismy, získat přístup k citlivým datům nebo dosáhnout vyšších oprávnění. Pro běžného uživatele to může znamenat nejen únik informací, ale i praktické převzetí kontroly nad systémem.

Zdroj: Shutterstock

Co přesně je problém a koho se týká

Zjištěné chyby se týkají oblastí, které jsou v prohlížečích běžně používány, jako je aktualizační služba, DevTools, stahování souborů nebo interní práce s datovými typy. Právě poslední kategorie představuje jedno z nejvážnějších rizik. Takzvané type confusion vzniká v situaci, kdy kód pracuje s objektem jiného typu, než předpokládá. To může otevřít cestu manipulaci s pamětí a tím i možnost spouštět škodlivý kód.

U Chrome jsou ohrožené verze před vydáním řady 143.0.7499 na všech hlavních platformách. Podobné problémy byly identifikovány i v prohlížeči Edge, konkrétně ve stabilních verzích před číslem 143.0.3650.66. Protože oba prohlížeče sdílejí základ v projektu Chromium, není překvapivé, že chyby mají společný původ a obdobný dopad.

CERT-In proto doporučuje urychlenou aktualizaci. Prohlížeče většinou stahují nové verze automaticky, ale uživatelé by si měli ručně ověřit, že je instalace dokončená. V Chrome lze stav zjistit v sekci Nápověda a následně O aplikaci Google Chrome, kde se zobrazí dostupnost nové verze. Edge nabízí obdobný postup v nastavení prohlížeče.

Pro firmy má varování ještě širší dopad. Starší verze prohlížečů se často objevují na počítačích, kde jsou aktualizace řízené centrálně. Pokud není aktualizační politika dostatečně rychlá, mohou být zaměstnanci vystaveni zbytečnému riziku. Proto se doporučuje prověřit nejen jednotlivé počítače, ale i firemní procesy kolem aktualizací softwaru.

U těchto zranitelností zatím není veřejně známé jejich aktivní zneužívání, což je dobrá zpráva. Zároveň ale platí, že u chyb s vysokým rizikem se obvykle nečeká dlouho, než se o ně začnou zajímat útočníci. Bez rychlé reakce může být problémem i běžné procházení internetu.

Aktualizace je tedy nejjednodušší a nejúčinnější opatření. Vývojáři zareagovali vydáním opravených verzí a jejich instalace trvá několik minut. V době, kdy jsou prohlížeče jedním z nejčastějších cílů útoků, je pravidelná kontrola aktualizací spolehlivý způsob, jak předejít řadě bezpečnostních potíží.