Η ενημέρωση κώδικα μηδενικής ημέρας του Chrome περιέχει 14 σημαντικές διορθώσεις ασφαλείας

Οι χρήστες παραμένουν στην προηγούμενη Microsoft Ανακοίνωση Patch Tuesday, το οποίο ήταν πολύ άσχημο κατά τη γνώμη τους, με έξι επιρρεπείς ευπάθειες εντός της άγριας ζωής.

Για να μην αναφέρουμε αυτό που θαμμένο βαθιά μέσα στα υπολείμματα του κώδικα απόδοσης ιστού MSHTML του Internet Explorer.

14 διορθώσεις ασφαλείας σε μία μόνο ενημέρωση

Τώρα, η Google κυκλοφορεί Συμβουλή ασφαλείας Chrome

, το οποίο ίσως θέλετε να γνωρίζετε περιλαμβάνει μια ενημέρωση κώδικα μηδενικής ημέρας (CVE-2021-30551) στον κινητήρα JavaScript του Chrome, μεταξύ των άλλων 14 επισήμως διορθωμένων ενημερώσεων ασφαλείας.

Για όσους δεν είναι ακόμη εξοικειωμένοι με τον όρο, Μηδενική μέρα είναι μια ευφάνταστη στιγμή, καθώς αυτός ο τύπος επίθεσης στον κυβερνοχώρο συμβαίνει σε λιγότερο από μια ημέρα από την επίγνωση του ελαττώματος ασφαλείας.

Επομένως, δεν δίνει στους προγραμματιστές αρκετό χρόνο για να εξαλείψουν ή να μετριάσουν τους πιθανούς κινδύνους που σχετίζονται με αυτήν την ευπάθεια.

Παρόμοια με το Mozilla, η Google συγκεντρώνει επίσης άλλα πιθανά σφάλματα που έχει βρει χρησιμοποιώντας γενικές μεθόδους κυνηγιού σφαλμάτων, που αναφέρονται ως Διάφορες διορθώσεις από εσωτερικούς ελέγχους, ασαφείς και άλλες πρωτοβουλίες.

Τα Fuzzers μπορούν να παράγουν, αν όχι εκατομμύρια, εκατοντάδες εκατομμύρια δοκιμαστικές εισόδους κατά τη διάρκεια της δοκιμαστικής περιόδου.

Ωστόσο, οι μόνες πληροφορίες που χρειάζονται για την αποθήκευση είναι στις περιπτώσεις που προκαλούν εσφαλμένη συμπεριφορά ή σφάλμα λειτουργίας του προγράμματος.

Αυτό σημαίνει ότι μπορούν να χρησιμοποιηθούν αργότερα στη διαδικασία, ως σημεία εκκίνησης για τους κυνηγούς ανθρωπίνων σφαλμάτων, κάτι που θα εξοικονομήσει πολύ χρόνο και εργατικό δυναμικό.

Τα σφάλματα χρησιμοποιούνται στην άγρια ​​φύση

Η Google ξεκινά αναφέροντας το σφάλμα μηδενικής ημέρας, δηλώνοντας ότι] γνωρίζουν ότι υπάρχει εκμετάλλευση για το CVE-2021-30551 στην άγρια ​​φύση.

Αυτό το συγκεκριμένο σφάλμα αναφέρεται ως τύπος σύγχυσης στο V8, όπου το V8 αντιπροσωπεύει το τμήμα του Chrome που εκτελεί κώδικα JavaScript.

Ο τύπος σύγχυσης σημαίνει ότι μπορείτε να παρέχετε στο V8 ένα στοιχείο δεδομένων, ενώ παραπλανάτε τη JavaScript για να το χειριστείτε σαν να ήταν κάτι εντελώς διαφορετικό, πιθανώς παρακάμπτοντας την ασφάλεια ή ακόμα και εκτελώντας μη εξουσιοδοτημένο κώδικα.

Όπως ίσως γνωρίζετε οι περισσότεροι από εσάς, παραβιάζει την ασφάλεια JavaScript που μπορεί να προκληθεί από κώδικα JavaScript που είναι ενσωματωμένος σε μια ιστοσελίδα, συχνά οδηγεί σε εκμετάλλευση RCE ή ακόμα και σε απομακρυσμένη εκτέλεση κώδικα.

Με όλα αυτά τα λεγόμενα, η Google δεν διευκρινίζει εάν το σφάλμα CVE-2021-30551 μπορεί να χρησιμοποιηθεί για σκληρή εκτέλεση απομακρυσμένου κώδικα, πράγμα που συνήθως σημαίνει ότι οι χρήστες είναι ευάλωτοι σε επιθέσεις στον κυβερνοχώρο.

Απλώς για να πάρετε μια ιδέα για το πόσο σοβαρό είναι αυτό, φανταστείτε να περιηγηθείτε σε έναν ιστότοπο, χωρίς να κάνετε πραγματικά κλικ σε κανένα αναδυόμενα παράθυρα, θα μπορούσαν να επιτρέψουν σε κακόβουλα τρίτα μέρη να τρέχουν κώδικα αόρατα και να εμφυτεύσουν κακόβουλα προγράμματα στον υπολογιστή σας.

Έτσι, το CVE-2021-30551 παίρνει μόνο μια υψηλή βαθμολογία, με απλώς ένα σφάλμα που δεν βρίσκεται στη φύση (CVE-2021-30544), που χαρακτηρίζεται ως κρίσιμο.

Θα μπορούσε να είναι ότι το σφάλμα CVE-2021-30544 είχε την κριτική αναφορά που του αποδόθηκε επειδή μπορούσε να αξιοποιηθεί για το RCE.

Ωστόσο, δεν υπάρχει πρόταση ότι κανένας άλλος εκτός της Google, καθώς και οι ερευνητές που ανέφεραν ότι ξέρουν πώς να το κάνουν αυτό, προς το παρόν.

Η εταιρεία αναφέρει επίσης ότι η πρόσβαση σε λεπτομέρειες σφαλμάτων και συνδέσμους ενδέχεται να διατηρηθεί περιορισμένη έως ότου η πλειοψηφία των χρηστών ενημερωθεί με μια επιδιόρθωση

Ποια είναι η γνώμη σας για την τελευταία ενημέρωση κώδικα μηδενικής ημέρας από την Google; Μοιραστείτε τις σκέψεις σας μαζί μας στην παρακάτω ενότητα σχολίων.