- Google frigiver Chrome-sikkerhedsrådgivning, som inkluderer en nul-dages patch til Chrome's JavaScript-motor.
- CVE-2021-30551 får en høj rating med kun en fejl, der ikke er i naturen, udnyttet af ondsindede tredjeparter.
- Ifølge Google kan adgang til bugdetaljer og links muligvis holdes begrænset, indtil et flertal af brugerne opdateres med en rettelse.
- Det CVE-2021-30551 bug er opført af Google som type forvirring i V8, hvilket betyder at JavaScript-sikkerhed kan omgåes til kørsel af uautoriseret kode.
Brugere dvæler stadig ved det tidligere Microsoft Meddelelse om patch-tirsdag, hvilket efter deres mening var ret dårligt, med seks sårbarheder i naturen patched.
For ikke at nævne den, der er begravet dybt inde i resterne af Internet Explorer's MSHTML-webgengivelseskode.
14 sikkerhedsrettelser i en enkelt opdatering
Nu frigiver Google Chrome-sikkerhedsrådgivning, som du måske vil vide, inkluderer en nul-dages patch (CVE-2021-30551) til Chromes JavaScript-motor, blandt de andre 14 officielt anførte sikkerhedsrettelser.
For dem der stadig ikke er bekendt med udtrykket, Nul-dag er en fantasifuld tid, da denne type cyberangreb sker på mindre end en dag siden bevidstheden om sikkerhedsfejlen.
Derfor giver det ikke udviklerne næsten nok tid til at udrydde eller afbøde de potentielle risici forbundet med denne sårbarhed.
I lighed med Mozilla klynger Google også andre potentielle fejl, som det har fundet ved hjælp af generiske bug-jagtmetoder, der er anført som Forskellige rettelser fra interne revisioner, fuzzing og andre initiativer.
Fuzzers kan producere, hvis ikke millioner, hundreder af millioner testindgange i løbet af den bevægende løbetur.
De eneste oplysninger, de har brug for at gemme, er dog i de tilfælde, der får programmet til at opføre sig forkert eller gå ned.
Det betyder, at de kan bruges senere i processen som udgangspunkt for de menneskelige bugjægere, som også sparer meget tid og arbejdskraft.
Bugs udnyttes i naturen
Google starter med at nævne nul-dages fejl, idet de siger, at de] er opmærksomme på, at der findes en udnyttelse til CVE-2021-30551 i naturen.
Denne særlige fejl er angivet som skriv forvirring i V8, hvor V8 repræsenterer den del af Chrome, der kører JavaScript-kode.
Type forvirring betyder, at du kan give V8 et dataelement, mens du narrer JavaScript til at håndtere det som om det var noget helt andet, potentielt omgå sikkerhed eller endda køre uautoriseret kode.
Som de fleste af jer måske ved, resulterer JavaScript-sikkerhedsbrud, der kan udløses af JavaScript-kode, der er indlejret i en webside, mere end ofte i RCE-udnyttelser eller endda fjernudførelse af kode.
Når alt dette er sagt, præciserer Google ikke, om CVE-2021-30551-bug kan bruges til hardcore fjernkørsel af kode, hvilket normalt betyder, at brugerne er sårbare over for cyberangreb.
Bare for at få en idé om, hvor seriøst dette er, forestil dig at surfe på et websted uden at klikke på nogen popups, kunne tillade ondsindede tredjeparter at køre kode usynligt og implantere malware på din computer.
Således får CVE-2021-30551 kun en høj rating med blot en fejl, der ikke er i naturen (CVE-2021-30544), klassificeret som kritisk.
Det kunne være, at CVE-2021-30544-bugten blev tildelt den kritiske omtale, fordi den kunne udnyttes til RCE.
Der er dog intet forslag om, at andre end Google såvel som forskerne, der rapporterede det, ved, hvordan man gør det i øjeblikket.
Virksomheden nævner også, at adgang til bugdetaljer og links kan holdes begrænset, indtil et flertal af brugerne opdateres med en rettelse
Hvad tager du af den seneste nul-dagers patch fra Google? Del dine tanker med os i kommentarfeltet nedenfor.
