11 haavoittuvuudesta yksi päätyi ulkopuolisiin käsiin ennen korjauksen ilmestymistä.

Google julkaisi Chrome-selaimeensa päivityksen, joka korjaa jälkijunassa tietojen varastamisen mahdollistavan haavoittuvuuden. Haavoittuvuuden kuvaus kuuluu lyhykäisyydessään "ei-luotetun syötteen riittämätön varmistus Intentsissä".

Tietoturvayhtiö Sophoksen mukaan Intent on Chromen mekanismi sovellusten käynnistämiseksi suoraan verkkosivulta käsin. Tällöin sivulla olevia tietoja syötetään ulkopuoliseen sovellukseen, joka käynnistetään tietojen käsittelemiseksi. Esimerkiksi Chromen osoitepalkissa oleva jakonappi toimii näin.

Sophoksen mielestä vaara on verrattain ilmeinen, jos kyseinen haavoittuvuus mahdollistaa riskialttiiden ja normaalisti estettyjen tietojen syöttämisen hiljaisesti paikalliselle sovellukselle.

Lue lisää: Chromeen hyökätään - toimi näin

Google sanoo tietävänsä, että haavoittuvuudelle on olemassa julkinen hyökkäysmenetelmä. Kyseessä on siis niin sanottu nollapäivähaavoittuvuus, koska aukko paljastui ennen korjauksen julkaisua.

Aukko on luokitukseltaan korkea eli vakavuudeltaan toiseksi pahin mahdollinen. Sen raportoi Googlen Threat Analysis Group, joka työskentelee valtiollisten hyökkäysten estämiseksi.

Tuttuun tapaansa Google ei toistaiseksi kerro aukosta enempää yksityiskohtia. Yhtiö haluaa varmistaa, että suurin osa käyttäjistä on suojassa ensin.

Päivitys korjaa myös 10 muuta haavoittuvuutta, jotka eivät ehtineet vuotaa vääriin käsiin. Niiden joukossa on yksi kriittiseksi luokiteltu aukko, useita korkean uhkan haavoittuvuuksia ja pari alemman tason uhkaa.

Päivitys tulee saataville päivien ja viikkojen kuluessa. Chrome päivittänee itsensä lopulta automaattisesti, mutta turvallisinta on varmistaa päivityksen asentuminen itse. Paina Chromessa oikean yläkulman kolmea pistettä ja valitse Ohje > Tietoja Google Chromesta.

Selain päivittyi valikossa käymällä. Kuvakaappaus.

Tämä sivu käynnistää selaimen päivityksen, jos sellainen on saatavilla. Toimituksen tietokoneessa selain päivittyi vasta tässä valikossa käymällä.

Tallenna selaimessa kesken olevat työt ensin, ja käynnistä selain uudestaan päivityksen jälkeen. Windowsissa korjattu versio on 104.0.5112.102/101 ja Macissa ja Linuxissa 104.0.5112.101.

Haavoittuvuus koskettaa myös ainakin Microsoftin Edge-selainta, joka käyttää samaa Chromium-teknologiaa kuin Chrome. Microsoft kertoo paikanneensa aukon Edgen mobiiliversiossa 104.0.1293.60.