השבוע גוגל הוציאו עדכון Chrome שמתקן את ה-zero-day הרביעית של 2026. ארבע פגיעויות שנוצלו בפועל לפני שיצא פאץ', בחמישה החודשים הראשונים של השנה. למשתמש פרטי זה אומר "עדכן את הדפדפן". לארגון זה אומר משהו רחב יותר – איך אתם בכלל מנהלים את הדפדפנים אצלכם?

למה zero-day של דפדפן זה שונה

פגיעות zero-day זה פגיעות שמנצלים אותה לפני שיצא לה תיקון. בדרך כלל מדובר בפגיעויות שעלולות לתת לתוקף לרוץ קוד על המחשב שלכם רק על ידי כך שפתחתם דף אינטרנט. בלי לחיצה, בלי הורדה, בלי כלום.

בדפדפן זה במיוחד מסוכן כי:

  • הדפדפן פתוח רוב הזמן אצל רוב המשתמשים
  • הוא מקבל קוד JavaScript לא ידוע מכל אתר שאתם מבקרים בו
  • הוא מחזיק cookies, סיסמאות, ובמקרים רבים גם session tokens של מערכות הענן שלכם
  • אם הדפדפן נפרץ, התוקף יכול לגנוב את הסשנים של Microsoft 365, Google Workspace, או הבנקאות שלכם

הבעיה האמיתית עם ניהול דפדפנים בארגון

ברוב הארגונים בארץ אין מדיניות מסודרת לעדכון דפדפנים. אנשים מקבלים מחשב, פותחים Chrome, ומשם זה תלוי במזל – אם המשתמש סוגר את הדפדפן לפעמים, הוא מקבל את העדכונים. אם הוא משאיר את הדפדפן פתוח 30 ימים ברצף – הוא רץ עם גרסה ישנה ופגיעה.

חמור יותר: בארגונים שיש להם MDM ל-Mac אבל לא ל-Windows, או הפוך, יש לרוב פערים גדולים. אצל לקוחות שלנו אנחנו מוצאים בדרך כלל 10-20% מהמחשבים עם Chrome בגרסה שהיא חודש או יותר מאחורי – וזה משמעותי בעולם של zero-day.

איך לסדר את זה

שלוש דרכים, מהקלה לקשה:

הקלה ביותר: Chrome Enterprise Bundle (חינם). זה ארגז כלים של גוגל שכולל GPO templates ל-Active Directory. תוך 30 דקות אפשר להגדיר ש-Chrome יתעדכן באופן כפוי, ולא יאפשר למשתמש לעכב עדכונים. גם אם הדפדפן פתוח, הוא יוריד את העדכון ויחיל בפתיחה הבאה.

בינונית: Chrome Browser Cloud Management (חינם גם). זה הענן של גוגל לניהול Chrome מרכזית – לראות אילו גרסאות רצות, מי לא מעודכן, ולקבל התראות. דורש פתיחת חשבון Google Workspace (גם חשבון חינמי עובד) אבל בלי מנוי מלא.

הקשה: Microsoft Intune עם Chrome Application policies. אם אתם כבר ב-Intune, זה הוספה פשוטה. אם לא – זה תהליך הקמה שעוסק בו פעם אחת ומכסה הרבה יותר מסתם Chrome.

מה לגבי Edge ו-Firefox?

Edge מבוסס Chromium מאז 2020, אז רוב פגיעויות Chrome רלוונטיות גם לו. מיקרוסופט בדרך כלל מוציאה עדכונים תוך 24-48 שעות אחרי שגוגל מוציאה. אם אתם בארגון Microsoft, Edge הוא הברירה החכמה כי הוא מתעדכן יחד עם Windows Update.

Firefox – שוק קטן בארגונים, אבל יש כמה משתמשים. Mozilla מתעדכנת בקצב סביר. הבעיה: בלי MDM, אין דרך לוודא שמשתמש לא משתמש בגרסה ישנה.

סיכום

זה לא "פעולה גדולה" – זה פעולה קטנה שמרבית הארגונים לא עושים. הסיבה לרוב היא חוסר תשומת לב, לא חוסר כלים. הכלים חינמיים ופתוחים. נסו לסגור את הפער הזה השבוע.

אם אתם רוצים סקירה של מה הדפדפנים שלכם משדרים ומה הם פתוחים אליו – דברו איתנו. ב-30 דקות עם הסקריפט הנכון אפשר לראות תמונה מלאה של דפדפן באירגון, ובסבב סטנדרטי אנחנו מוצאים פגיעויות שאף אחד לא ידע עליהן.

למי שמתעניין בנושאי אבטחה רחבים יותר, יש לנו פוסט על פגיעויות חדשות ב-Windows Defender שמסביר למה הסתמכות על שכבת אבטחה אחת לא מספיקה.