- Google julkaisee Chromen tietosuojaneuvonta, joka sisältää nollapäivän päivityksen Chromen JavaScript-moottoriin.
- CVE-2021-30551 saa korkean arvosanan, ja haitalliset kolmannet osapuolet käyttävät hyväksi vain yhtä virhettä, joka ei ole luonnossa.
- Googlen mukaan pääsy virhetietoihin ja linkkeihin voidaan pitää rajoitettuna, kunnes suurin osa käyttäjistä päivitetään korjauksella.
- Google on luetteloinut CVE-2021-30551-virheen tyypin sekaannuksena V8: ssa, mikä tarkoittaa, että JavaScript-suojaus voidaan ohittaa luvattoman koodin suorittamisen yhteydessä.
Käyttäjät asuvat edelleen edellisessä Microsoftissa Patch Tuesday -ilmoitus, mikä oli heidän mielestään melko huono, ja paikalla oli kuusi luonnossa esiintyvää haavoittuvuutta.
Puhumattakaan siitä, joka on haudattu syvälle Internet Explorerin MSHTML-verkko-renderöintikoodin jälkeihin.
14 tietoturvakorjausta yhdessä päivityksessä
Nyt Google julkaisee Chromen tietosuojaneuvonta, jonka haluat ehkä tietää, sisältää nollapäivän korjaustiedoston (CVE-2021-30551) Chromen JavaScript-moottoriin muun 14 virallisesti luetellun tietoturvakorjauksen joukossa.
Niille, jotka eivät vieläkään tunne tätä termiä, Nolla-päivä on mielikuvituksellinen aika, koska tällainen kyberhyökkäys tapahtuu alle päivässä tietoturva-aukosta.
Siksi se ei anna kehittäjille melkein tarpeeksi aikaa poistaa tai vähentää tähän haavoittuvuuteen liittyviä mahdollisia riskejä.
Samoin kuin Mozilla, Google kokoaa yhteen myös muut mahdolliset virheet, jotka se on löytänyt käyttämällä yleisiä vikojenetsintämenetelmiä Erilaisia korjauksia sisäisistä tarkastuksista, fuusioista ja muista aloitteista.
Fuzzerit voivat tuottaa ellei miljoonia, satoja miljoonia testituloksia todistusajon aikana.
Ainoa heidän tarvitsema tieto on kuitenkin tapauksissa, jotka aiheuttavat ohjelman virheellisen toiminnan tai kaatumisen.
Tämä tarkoittaa, että niitä voidaan käyttää prosessin myöhemmässä vaiheessa lähtökohtana ihmisbugien metsästäjille, mikä myös säästää paljon aikaa ja työvoimaa.
Virheitä hyödynnetään luonnossa
Google mainitsee aluksi nollapäivän virheen toteamalla, että he ovat tietoisia CVE-2021-30551: n hyödyntämisestä luonnossa.
Tämä vika on listattu nimellä tyypin sekaannusta V8: ssa, jossa V8 edustaa Chromen osaa, joka käyttää JavaScript-koodia.
Tyyppihämmennys tarkoittaa, että voit toimittaa V8: lle yhden tietoalueen ja huijata JavaScriptiä käsittelemään sitä ikään kuin se olisi jotain täysin erilaista, mahdollisesti ohittaen tietoturvan tai jopa suorittamalla luvattoman koodin.
Kuten suurin osa tiedät, JavaScript-tietoturvaloukkaukset, jotka voivat laukaista verkkosivulle upotetulla JavaScript-koodilla, johtavat useimmiten RCE-hyväksikäyttöihin tai jopa koodin etäsuorittamiseen.
Tämän kaiken lisäksi Google ei selvitä, voidaanko CVE-2021-30551-virhettä käyttää kovan koodin etäsuorittamiseen, mikä tarkoittaa yleensä sitä, että käyttäjät ovat alttiita kyberhyökkäyksille.
Vain saadaksesi käsityksen siitä, kuinka vakava tämä on, kuvittele surffaamista verkkosivustolla napsauttamatta mitään ponnahdusikkunat voivat antaa haitallisten kolmansien osapuolten suorittaa koodin näkymättömästi ja istuttaa haittaohjelmia tietokoneellesi.
Siten CVE-2021-30551 saa vain korkean arvosanan, ja siinä on vain virhe, joka ei ole luonnossa (CVE-2021-30544), joka on luokiteltu kriittiseksi.
Voi olla, että CVE-2021-30544 -virheelle annettiin kriittinen maininta, koska sitä voitiin hyödyntää RCE: lle.
Tällä hetkellä ei kuitenkaan ole ehdotuksia siitä, että kukaan muu kuin Google, samoin kuin tutkijat, jotka ilmoittivat siitä, tietävät miten se tehdään.
Yritys mainitsee myös, että virhetietojen ja linkkien käyttöä voidaan rajoittaa, kunnes suurin osa käyttäjistä päivitetään korjauksella
Mikä on Googlen viimeisin nollapäivän korjaustiedosto? Jaa ajatuksesi kanssamme alla olevassa kommenttiosassa.
