- Google пуска Съвет за сигурност на Chrome, който включва корекция за нулев ден към JavaScript механизма на Chrome.
- CVE-2021-30551 получава висока оценка, само с една грешка, която не е в природата, експлоатирана от злонамерени трети страни.
- Според Google достъпът до подробности за грешки и връзки може да бъде ограничен, докато повечето потребители не бъдат актуализирани с поправка.
- The Грешката CVE-2021-30551 е изброена от Google като объркване на типа във V8, което означава, че защитата на JavaScript може да бъде заобиколена за стартиране на неоторизиран код.
Потребителите все още се спират на предишния Microsoft Пач вторник съобщение, което беше доста лошо по тяхно мнение, като бяха закърпени шест диви уязвимости.
Да не говорим за този, заровен дълбоко в остатъците от уеб кода за рендиране на MSHTML на Internet Explorer.
14 корекции на сигурността в една актуализация
Сега Google пуска Съвет за сигурност на Chrome, което може би искате да знаете, включва корекция с нулев ден (CVE-2021-30551) към JavaScript механизма на Chrome, сред останалите 14 официално изброени корекции на сигурността.
За тези, които все още не са запознати с термина, Нулев ден е време за въображение, тъй като този тип кибератака се случва за по-малко от ден след осъзнаването на недостатъка в сигурността.
Следователно, това не дава на разработчиците почти достатъчно време за изкореняване или смекчаване на потенциалните рискове, свързани с тази уязвимост.
Подобно на Mozilla, Google също групира други потенциални грешки, които е открил, използвайки общи методи за лов на грешки, изброени като Различни корекции от вътрешни одити, размиване и други инициативи.
Фузерите могат да произведат, ако не и милиони, стотици милиони тестови входове в рамките на доказването.
Единствената информация, която те трябва да съхраняват обаче, е в случаите, които причиняват неправилно поведение или срив на програмата.
Това означава, че те могат да бъдат използвани по-късно в процеса, като отправни точки за ловците на човешки грешки, което също ще спести много време и работна сила.
Буболечките се експлоатират в дивата природа
Google започва, като споменава грешката за нулевия ден, заявявайки, че] са наясно, че експлойт за CVE-2021-30551 съществува в дивата природа.
Тази конкретна грешка е посочена като объркване тип във V8, където V8 представлява частта от Chrome, която изпълнява JavaScript код.
Объркване на типа означава, че можете да предоставите на V8 един елемент от данни, като същевременно подвеждате JavaScript да се справи с него сякаш е нещо съвсем различно, потенциално заобикалящо сигурността или дори изпълняващо неоторизиран код.
Както повечето от вас може би знаят, пробивите в сигурността на JavaScript, които могат да бъдат предизвикани от JavaScript код, вграден в уеб страница, често водят до експлоати на RCE или дори до дистанционно изпълнение на код.
С всичко това казано, Google не изяснява дали грешката CVE-2021-30551 може да се използва за хардкор дистанционно изпълнение на код, което обикновено означава, че потребителите са уязвими от кибер атаки.
Само за да добиете представа колко сериозно е това, представете си сърфиране в уебсайт, без всъщност да щракнете върху някоя изскачащи прозорци, може да позволи на злонамерени трети страни да стартират код невидимо и да имплантират злонамерен софтуер на вашия компютър.
По този начин CVE-2021-30551 получава само висока оценка, само с грешка, която не е в природата (CVE-2021-30544), класифицирана като критична.
Възможно е грешката CVE-2021-30544 да е приписана на критичното споменаване, защото може да бъде използвана за RCE.
Засега обаче не се предполага, че някой друг освен Google, както и изследователите, които са съобщили, че в момента знаят как да го направят.
Компанията също така споменава, че достъпът до подробности за грешки и връзки може да бъде ограничен, докато повечето потребители не бъдат актуализирани с поправка
Какво е мнението ви за най-новата корекция на нулев ден от Google? Споделете вашите мисли с нас в раздела за коментари по-долу.
