Η ενημέρωση κώδικα μηδενικής ημέρας του Chrome περιέχει 14 σημαντικές διορθώσεις ασφαλείας

  • Κυκλοφορίες Google Συμβουλή ασφαλείας Chrome, η οποία περιλαμβάνει μια ενημέρωση κώδικα μηδενικής ημέρας στη μηχανή JavaScript του Chrome.
  • Το CVE-2021-30551 έχει υψηλή βαθμολογία, με μόνο ένα σφάλμα που δεν βρίσκεται στη φύση, εκμεταλλευόμενο κακόβουλα τρίτα μέρη.
  • Σύμφωνα με την Google, η πρόσβαση σε λεπτομέρειες σφαλμάτων και συνδέσμους ενδέχεται να παραμείνει περιορισμένη έως ότου η πλειοψηφία των χρηστών ενημερωθεί με μια επιδιόρθωση.
  • ο Το σφάλμα CVE-2021-30551 αναφέρεται από την Google ως τύπος σύγχυσης στο V8, πράγμα που σημαίνει ότι η ασφάλεια JavaScript μπορεί να παρακαμφθεί για την εκτέλεση μη εξουσιοδοτημένου κώδικα.
Μηδέν ημέρα Chrome

Οι χρήστες παραμένουν στην προηγούμενη Microsoft Ανακοίνωση Patch Tuesday, το οποίο ήταν πολύ άσχημο κατά τη γνώμη τους, με έξι επιρρεπείς ευπάθειες εντός της άγριας ζωής.

Για να μην αναφέρουμε αυτό που θαμμένο βαθιά μέσα στα υπολείμματα του κώδικα απόδοσης ιστού MSHTML του Internet Explorer.

14 διορθώσεις ασφαλείας σε μία μόνο ενημέρωση

Τώρα, η Google κυκλοφορεί Συμβουλή ασφαλείας Chrome

, το οποίο ίσως θέλετε να γνωρίζετε περιλαμβάνει μια ενημέρωση κώδικα μηδενικής ημέρας (CVE-2021-30551) στον κινητήρα JavaScript του Chrome, μεταξύ των άλλων 14 επισήμως διορθωμένων ενημερώσεων ασφαλείας.

Για όσους δεν είναι ακόμη εξοικειωμένοι με τον όρο, Μηδενική μέρα είναι μια ευφάνταστη στιγμή, καθώς αυτός ο τύπος επίθεσης στον κυβερνοχώρο συμβαίνει σε λιγότερο από μια ημέρα από την επίγνωση του ελαττώματος ασφαλείας.

Επομένως, δεν δίνει στους προγραμματιστές αρκετό χρόνο για να εξαλείψουν ή να μετριάσουν τους πιθανούς κινδύνους που σχετίζονται με αυτήν την ευπάθεια.

Παρόμοια με το Mozilla, η Google συγκεντρώνει επίσης άλλα πιθανά σφάλματα που έχει βρει χρησιμοποιώντας γενικές μεθόδους κυνηγιού σφαλμάτων, που αναφέρονται ως Διάφορες διορθώσεις από εσωτερικούς ελέγχους, ασαφείς και άλλες πρωτοβουλίες.

Τα Fuzzers μπορούν να παράγουν, αν όχι εκατομμύρια, εκατοντάδες εκατομμύρια δοκιμαστικές εισόδους κατά τη διάρκεια της δοκιμαστικής περιόδου.

Ωστόσο, οι μόνες πληροφορίες που χρειάζονται για την αποθήκευση είναι στις περιπτώσεις που προκαλούν εσφαλμένη συμπεριφορά ή σφάλμα λειτουργίας του προγράμματος.

Αυτό σημαίνει ότι μπορούν να χρησιμοποιηθούν αργότερα στη διαδικασία, ως σημεία εκκίνησης για τους κυνηγούς ανθρωπίνων σφαλμάτων, κάτι που θα εξοικονομήσει πολύ χρόνο και εργατικό δυναμικό.

Τα σφάλματα χρησιμοποιούνται στην άγρια ​​φύση

Η Google ξεκινά αναφέροντας το σφάλμα μηδενικής ημέρας, δηλώνοντας ότι] γνωρίζουν ότι υπάρχει εκμετάλλευση για το CVE-2021-30551 στην άγρια ​​φύση.

Αυτό το συγκεκριμένο σφάλμα αναφέρεται ως τύπος σύγχυσης στο V8, όπου το V8 αντιπροσωπεύει το τμήμα του Chrome που εκτελεί κώδικα JavaScript.

Ο τύπος σύγχυσης σημαίνει ότι μπορείτε να παρέχετε στο V8 ένα στοιχείο δεδομένων, ενώ παραπλανάτε τη JavaScript για να το χειριστείτε σαν να ήταν κάτι εντελώς διαφορετικό, πιθανώς παρακάμπτοντας την ασφάλεια ή ακόμα και εκτελώντας μη εξουσιοδοτημένο κώδικα.

Όπως ίσως γνωρίζετε οι περισσότεροι από εσάς, παραβιάζει την ασφάλεια JavaScript που μπορεί να προκληθεί από κώδικα JavaScript που είναι ενσωματωμένος σε μια ιστοσελίδα, συχνά οδηγεί σε εκμετάλλευση RCE ή ακόμα και σε απομακρυσμένη εκτέλεση κώδικα.

Με όλα αυτά τα λεγόμενα, η Google δεν διευκρινίζει εάν το σφάλμα CVE-2021-30551 μπορεί να χρησιμοποιηθεί για σκληρή εκτέλεση απομακρυσμένου κώδικα, πράγμα που συνήθως σημαίνει ότι οι χρήστες είναι ευάλωτοι σε επιθέσεις στον κυβερνοχώρο.

Απλώς για να πάρετε μια ιδέα για το πόσο σοβαρό είναι αυτό, φανταστείτε να περιηγηθείτε σε έναν ιστότοπο, χωρίς να κάνετε πραγματικά κλικ σε κανένα αναδυόμενα παράθυρα, θα μπορούσαν να επιτρέψουν σε κακόβουλα τρίτα μέρη να τρέχουν κώδικα αόρατα και να εμφυτεύσουν κακόβουλα προγράμματα στον υπολογιστή σας.

Έτσι, το CVE-2021-30551 παίρνει μόνο μια υψηλή βαθμολογία, με απλώς ένα σφάλμα που δεν βρίσκεται στη φύση (CVE-2021-30544), που χαρακτηρίζεται ως κρίσιμο.

Θα μπορούσε να είναι ότι το σφάλμα CVE-2021-30544 είχε την κριτική αναφορά που του αποδόθηκε επειδή μπορούσε να αξιοποιηθεί για το RCE.

Ωστόσο, δεν υπάρχει πρόταση ότι κανένας άλλος εκτός της Google, καθώς και οι ερευνητές που ανέφεραν ότι ξέρουν πώς να το κάνουν αυτό, προς το παρόν.

Η εταιρεία αναφέρει επίσης ότι η πρόσβαση σε λεπτομέρειες σφαλμάτων και συνδέσμους ενδέχεται να διατηρηθεί περιορισμένη έως ότου η πλειοψηφία των χρηστών ενημερωθεί με μια επιδιόρθωση

Ποια είναι η γνώμη σας για την τελευταία ενημέρωση κώδικα μηδενικής ημέρας από την Google; Μοιραστείτε τις σκέψεις σας μαζί μας στην παρακάτω ενότητα σχολίων.

Λύση: Σφάλμα στο Chrome

Λύση: Σφάλμα στο ChromeGoogle Chrome

Τα Εργαλεία Προγραμματισμού του Chrome δεν συνδέονται με την ενσωμάτωση των εργαλείων για την ενσωμάτωση που επιτρέπει την επιθεώρηση ή την προσαρμογή του κώδικα που κατευθύνει στην πλοήγηση. Σφάλμ...

Διαβάστε περισσότερα
Το Facebook δεν λειτουργεί στο Chrome; 7 τρόποι για να το διορθώσετε γρήγορα

Το Facebook δεν λειτουργεί στο Chrome; 7 τρόποι για να το διορθώσετε γρήγοραWindows 10Windows 11Google Chrome

Δοκιμάστε να επανεκκινήσετε το Google Chrome χρησιμοποιώντας τη Διαχείριση εργασιώνΕάν το Facebook δεν λειτουργεί στο Chrome, αυτό πιθανότατα οφείλεται σε προσωρινή μνήμη και cookie, ξεπερασμένο Ch...

Διαβάστε περισσότερα
Chrome //net-internals/#dns mobile [¿Qué es?]

Chrome //net-internals/#dns mobile [¿Qué es?]DnsGoogle Chrome

Για να μην αποκτήσετε πρόσβαση σε έναν ιστότοπο, μπορείτε να δείτε έναν ιστό ως προς τον ιστό και να εισέλθετε στο DNS. Εναλλακτικά, debe borrar o vaciar la caché de DNS. Dado que Chrome viene con ...

Διαβάστε περισσότερα