Der Zero-Day-Patch von Chrome enthält 14 wichtige Sicherheitsfixes

Benutzer verweilen immer noch bei der vorherigen Microsoft Ankündigung des Patch-Dienstags, was ihrer Meinung nach ziemlich schlecht war, mit sechs gepatchten Sicherheitslücken.

Ganz zu schweigen von dem, der tief in den Überresten des MSHTML-Web-Rendering-Codes von Internet Explorer vergraben ist.

14 Sicherheitsfixes in einem einzigen Update

Jetzt veröffentlicht Google Chrome-Sicherheitshinweis, von dem Sie vielleicht wissen möchten, dass es unter den anderen 14 offiziell aufgeführten Sicherheitsfixes einen Zero-Day-Patch (CVE-2021-30551) für die JavaScript-Engine von Chrome enthält.

Für diejenigen, die den Begriff noch nicht kennen, Null-Tag ist eine phantasievolle Zeit, da diese Art von Cyberangriff in weniger als einem Tag seit Bekanntwerden der Sicherheitslücke stattfindet.

Daher gibt es den Entwicklern nicht annähernd genug Zeit, um die potenziellen Risiken, die mit dieser Sicherheitsanfälligkeit verbunden sind, zu beseitigen oder zu mindern.

Ähnlich wie Mozilla gruppiert Google auch andere potenzielle Fehler, die es mit generischen Methoden zur Fehlersuche gefunden hat, aufgelistet als Verschiedene Fixes aus internen Audits, Fuzzing und anderen Initiativen.

Fuzzer können, wenn nicht sogar Millionen, Hunderte von Millionen von Testeingaben über den Zeitraum des Testlaufs produzieren.

Die einzigen Informationen, die sie speichern müssen, sind jedoch die Fälle, in denen das Programm sich schlecht verhält oder abstürzt.

Dies bedeutet, dass sie später im Prozess als Ausgangspunkt für die menschlichen Käferjäger verwendet werden können, was auch viel Zeit und Arbeitskraft spart.

Käfer werden in freier Wildbahn ausgenutzt

Google beginnt mit der Erwähnung des Zero-Day-Bugs und erklärt, dass sie sich bewusst sind, dass ein Exploit für CVE-2021-30551 in freier Wildbahn existiert exists.

Dieser spezielle Fehler wird aufgeführt als Typverwirrung in V8, wobei V8 den Teil von Chrome darstellt, der JavaScript-Code ausführt.

Typverwirrung bedeutet, dass Sie V8 mit einem Datenelement versorgen können, während Sie JavaScript dazu bringen, damit umzugehen als wäre es etwas völlig anderes, das möglicherweise die Sicherheit umgeht oder sogar nicht autorisierten Code ausführt.

Wie die meisten von Ihnen vielleicht wissen, führen JavaScript-Sicherheitsverletzungen, die durch in eine Webseite eingebetteten JavaScript-Code ausgelöst werden können, mehr als oft zu RCE-Exploits oder sogar zu Remotecodeausführung.

Trotz alledem klärt Google nicht, ob der CVE-2021-30551-Bug für die Ausführung von Hardcore-Remote-Code verwendet werden kann, was normalerweise bedeutet, dass Benutzer anfällig für Cyberangriffe sind.

Um eine Vorstellung davon zu bekommen, wie ernst das ist, stellen Sie sich vor, Sie surfen auf einer Website, ohne tatsächlich auf eine zu klicken Pop-ups, könnten es böswilligen Dritten ermöglichen, Code unsichtbar auszuführen und Malware auf Ihrem Computer einzupflanzen.

Somit erhält CVE-2021-30551 nur eine hohe Bewertung, wobei lediglich ein Bug, der nicht in freier Wildbahn ist (CVE-2021-30544), als kritisch eingestuft wird.

Es könnte sein, dass dem Fehler CVE-2021-30544 die kritische Erwähnung zugeschrieben wurde, weil er für RCE ausgenutzt werden könnte.

Es gibt jedoch keinen Hinweis darauf, dass jemand anderes als Google sowie die Forscher, die darüber berichtet haben, im Moment wissen, wie das geht.

Das Unternehmen erwähnt auch, dass der Zugriff auf Fehlerdetails und Links eingeschränkt sein kann, bis die Mehrheit der Benutzer mit einem Fix aktualisiert ist

Was halten Sie vom neuesten Zero-Day-Patch von Google? Teilen Sie uns Ihre Gedanken im Kommentarbereich unten mit.