- Vydání Google Bezpečnostní doporučení pro Chrome, který obsahuje opravu nulového dne v modulu JavaScript prohlížeče Chrome.
- CVE-2021-30551 získává vysoké hodnocení, pouze s jednou chybou, která není ve volné přírodě, zneužívána škodlivými třetími stranami.
- Podle Googlu může být přístup k podrobnostem o chybách a odkazům omezen, dokud nebude většina uživatelů aktualizována opravou.
- The Chyba CVE-2021-30551 je společností Google uvedena jako zmatek typu ve verzi V8, což znamená, že pro spuštění neoprávněného kódu lze obejít zabezpečení JavaScriptu.
Uživatelé stále bydlí v předchozím Microsoftu Oznámení Patch Tuesday, což bylo podle jejich názoru dost špatné, se šesti opravenými zranitelnostmi v přírodě.
Nemluvě o tom, který je pohřben hluboko v pozůstatcích kódu pro vykreslování webu MSHTML v prohlížeči Internet Explorer.
14 oprav zabezpečení v jedné aktualizaci
Nyní Google uvolňuje Bezpečnostní doporučení pro Chrome, o kterém byste možná chtěli vědět, zahrnuje opravu nultého dne (CVE-2021-30551) pro JavaScriptový engine Chrome, mezi jeho dalších 14 oficiálně uvedených bezpečnostních oprav.
Pro ty, kteří tento pojem dosud neznají, Zero-day je nápaditý čas, protože tento typ kybernetického útoku se odehrává za méně než jeden den od povědomí o bezpečnostní chybě.
Nedává tedy vývojářům dost času na vymýcení nebo zmírnění potenciálních rizik spojených s touto chybou zabezpečení.
Podobně jako Mozilla, Google také shlukuje další potenciální chyby, které našel pomocí obecných metod hledání chyb, uvedených jako Různé opravy z interních auditů, fuzzing a dalších iniciativ.
Fuzzery mohou produkovat, ne-li miliony, stovky milionů testovacích vstupů v rozpětí zkušebního běhu.
Jediné informace, které potřebují k uložení, jsou však případy, které způsobí, že se program chová nebo zhroutí.
To znamená, že mohou být použity později v tomto procesu jako výchozí body pro lovce lidských chyb, což také ušetří spoustu času a pracovní síly.
Chyby jsou využívány ve volné přírodě
Google začíná zmínkou o chybě nulového dne a uvádí, že si je vědom toho, že ve volné přírodě existuje zneužití pro CVE-2021-30551..
Tato konkrétní chyba je uvedena jako zmatek typu ve V8, kde V8 představuje část prohlížeče Chrome, která spouští kód JavaScript.
Zmatek typu znamená, že můžete V8 poskytnout jednu datovou položku a zároveň přimět JavaScript, aby s ní zacházel jako by to bylo něco úplně jiného, potenciálně by obcházelo zabezpečení nebo dokonce spouštělo neautorizovaný kód.
Jak většina z vás možná ví, narušení zabezpečení JavaScriptu, která mohou být vyvolána kódem JavaScript vloženým do webové stránky, častěji vyústí v zneužití RCE nebo dokonce vzdálené spuštění kódu.
S tím, co bylo řečeno, Google nevyjasňuje, zda lze chybu CVE-2021-30551 použít pro tvrdé vzdálené spuštění kódu, což obvykle znamená, že uživatelé jsou zranitelní vůči kybernetickým útokům.
Pro představu o tom, jak je to vážné, si představte procházení webu, aniž byste na něj skutečně klikali vyskakovací okna, mohla by umožnit škodlivým třetím stranám spustit kód neviditelně a implantovat malware do vašeho počítače.
CVE-2021-30551 tedy získává pouze vysoké hodnocení, pouze chyba, která není ve volné přírodě (CVE-2021-30544), klasifikovaná jako kritická.
Je možné, že u chyby CVE-2021-30544 byla připisována kritická zmínka, protože mohla být zneužita pro RCE.
Nic však nenasvědčuje tomu, že by pro tuto chvíli věděl někdo jiný než Google, stejně jako vědci, kteří o tom informovali.
Společnost také uvádí, že přístup k podrobnostem o chybách a odkazům může být omezen, dokud nebude většina uživatelů aktualizována opravou
Jak se díváte na nejnovější aktualizaci Google pro nultý den? Podělte se s námi o své myšlenky v sekci komentáře níže.
