О сбоях, уязвимости и доверии сервисам
Две новости на этой неделе привлекли мое внимание.
Первая новость о полном отключении сервисов WhatsApp, Instagram и Facebook в результате сбоя 4-го октября прошла через все новостные каналы.
Разобраться, почему это произошло – дело специалистов. Для нас, как пользователей гораздо важнее разобраться с последствиями.
Кроме явных последствий отключения было и много неявных, менее заметных, например:
- временное замедление работы не связанных с компанией Facebook сайтов и сервисов - Google, Twitter, TikTok, ВКонтакте, Telegram и многих других. Большинство из них быстро восстановилось, но многие пользователи испытали определенные неудобства
- пострадали сервисы, где используются различные механизмы Facebook, включая ее систему авторизации. В частности, пользователи некоторых сервисов, где для входа в учетную запись, нужны логин и пароль от соцсети Facebook, не могли этого сделать
- мошенники начали использовать ситуацию для продвижения поддельных VPN и другого вредоносного программного обеспечения.
Все это заставляет задуматься о важности влияния мессенджеров, соцсетей и других глобальных сервисов на нашу жизнь и необходимости снижения своей зависимости от них. Каждому пользователю этих сервисов стоит оценить критичность их отказа и подобрать резервные или альтернативных решения.
Кроме того, может правительствам и корпорациям стоит изменить подход к развитию информационных экосистем?!
Второй, гораздо менее заметной новостью было обнаружение опасных уязвимостей браузера Chrome и необходимости его экстренного обновления.
30 сентября компания Google выпустила экстренное обновление браузера Chrome, закрывающее три уязвимости: CVE-2021-37974, CVE-2021-37975 и CVE-2021-37976 (https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop_30.html)
Уязвимость CVE-2021-37975 критически опасна - 8,4 балла по шкале CVSS v3.1. Уязвимости CVE-2021-37974 и CVE-2021-37976 имеют высокую степень опасности (7,7 и 7,2 балла по шкале CVSS v3.1 соответственно).
Уязвимости CVE-2021-37975 и CVE-2021-37976 уже активно эксплуатируются злоумышленниками. Эксплуатация CVE-2021-37974 и CVE-2021-37975 позволяет выполнять произвольный код на пораженном компьютере, эксплуатация CVE-2021-37976, позволяет получить доступ к конфиденциальной информации.
Сценарий эксплуатации этих уязвимостей:
1. Злоумышленник создает вредоносный сайт с эксплойтом и заманивает на него жертву.
2. В результате атакующий может получить доступ к информации на компьютере жертвы или запустить на нем произвольный код.
Пользователям браузера Google Chrome рекомендуется немедленно обновиться до версии 94.0.4606.71. Уязвимости также актуальны и для других браузеров на базе движка Chromium. Microsoft рекомендует обновить Edge до версии 94.0.992.38.
Подробнее: https://www.kaspersky.ru/blog/three-vulnerabilities-in-chrome/31617/
Берегите себя, соблюдайте правила цифровой гигиены.