- Google vabastab Chrome'i turvanõuanne, mis sisaldab nullipäevast plaastrit Chrome'i JavaScripti mootorile.
- CVE-2021-30551 saab kõrge hinnangu - pahatahtlikud kolmandad isikud kasutavad ära ainult ühe vea, mis pole looduses.
- Google'i andmetel võidakse juurdepääsu vea üksikasjadele ja linkidele piirata seni, kuni enamikku kasutajaid parandusega värskendatakse.
- The CVE-2021-30551 vea on Google loetlenud V8-s tüübisegadusena, mis tähendab, et volitamata koodi käitamisel saab JavaScripti turvalisusest mööda hiilida.
Kasutajad elavad endiselt eelmises Microsoftis Plaastri teisipäeva teadaanne, mis oli nende arvates üsna halb, sest lappis kuus looduses leiduvat haavatavust.
Rääkimata sellest, mis on mattunud sügavale Internet Exploreri MSHTML-i veebirenderduskoodi jäljenditesse.
14 turvaparandust ühes värskenduses
Nüüd vabastab Google Chrome'i turvanõuanne, mida võiksite teada, sisaldab Chrome'i JavaScripti mootorisse nullipäevase plaastri (CVE-2021-30551) 14 muu ametlikult loetletud turvaparanduse hulgas.
Neile, kes seda mõistet veel ei tunne, Nullpäev on kujutlusvõimeline aeg, kuna seda tüüpi küberrünnakud toimuvad vähem kui ühe päeva jooksul pärast turvavea teadvustamist.
Seetõttu ei anna see arendajatele peaaegu piisavalt aega selle haavatavusega seotud võimalike riskide likvideerimiseks või leevendamiseks.
Sarnaselt Mozillale koondab Google kokku ka muud potentsiaalsed vead, mille ta on leidnud üldiste vigade otsimise meetodite abil, mis on loetletud kui Erinevad parandused siseaudititest, fuszist ja muudest algatustest.
Fuzzers suudab tõestusaja jooksul toota miljoneid, sadu miljoneid testisisendeid.
Ainus teave, mida nad peavad salvestama, on juhtudel, mis põhjustavad programmi valet käitumist või krahhi.
See tähendab, et neid saab protsessis hiljem kasutada, lähtekohtadeks inimeste putukaküttidele, mis säästavad ka palju aega ja tööjõudu.
Vigu kasutatakse looduses ära
Google mainib nullipäeva viga, märkides, et nad on teadlikud, et looduses on CVE-2021-30551 kasutamine.
See konkreetne viga on loetletud kui tüübi segadus V8-s, kus V8 tähistab Chrome'i Java-koodi käitavat osa.
Tüüp segadus tähendab, et saate anda V8-le ühe andmeüksuse, samal ajal kui Java-kood petab selle käitlemise nagu oleks see midagi täiesti teistsugust, potentsiaalselt turvast mööda minnes või isegi volitamata koodi käivitades.
Nagu enamik teist võib-olla teab, põhjustavad JavaScripti turvarikkumised, mille võivad käivitada veebilehele manustatud JavaScripti kood, enam kui sageli RCE ärakasutamist või isegi koodi kaugkäivitamist.
Kõike seda öeldes ei selgita Google, kas CVE-2021-30551 viga saab kasutada koodi kaugjuhtimiseks, mis tähendab tavaliselt, et kasutajad on küberrünnakute suhtes haavatavad.
Lihtsalt selleks, et aimu saada, kui tõsine see on, kujutage ette surfamist veebisaidil, ilma et oleksite ühelgi klõpsanud hüpikaknad, võivad pahatahtlikud kolmandad isikud koodi nähtamatuks käivitada ja pahavara arvutisse implanteerida.
Seega saab CVE-2021-30551 ainult kõrge hinnangu, kus on ainult viga, mida pole looduses (CVE-2021-30544), mis on klassifitseeritud kriitiliseks.
Võib juhtuda, et CVE-2021-30544 veale omistati kriitiline märkus, kuna seda sai RCE jaoks ära kasutada.
Siiski pole praegu ühtegi ettepanekut, et keegi teine peale Google'i ja teadlased, kes sellest teatasid, teaksid, kuidas seda teha.
Ettevõte mainib ka, et ligipääsu vea üksikasjadele ja linkidele võidakse piirata seni, kuni enamikku kasutajaid parandusega värskendatakse
Milline on teie uusim nullipäevane plaaster Google'ilt? Jagage oma mõtteid meiega allpool olevas kommentaaride jaotises.
![Chrome //net-internals/#dns mobile [Mis see on?]](/f/a479d2d6d4b1d73726cc33b0836f73e6.png?width=300&height=460)