- Google objavljuje Sigurnosno upozorenje za Chrome, koji uključuje zakrpu nultog dana Chromeova JavaScript mehanizma.
- CVE-2021-30551 dobiva visoku ocjenu, sa samo jednom greškom koja nije u divljini koju iskorištavaju zlonamjerne treće strane.
- Prema Googleu, pristup pojedinostima o pogreškama i vezama može biti ograničen dok se većina korisnika ne ažurira ispravkom.
- The Google je grešku CVE-2021-30551 naveo kao zabunu tipa u V8, što znači da se JavaScript sigurnost može zaobići za pokretanje neovlaštenog koda.
Korisnici se još uvijek zadržavaju na prethodnom Microsoftu Patch utorak najava, što je po njihovom mišljenju bilo prilično loše, sa zakrpljenih šest divljih ranjivosti.
A da ne spominjemo onaj zakopan duboko u tragovima MSHTML koda za web prikazivanje Internet Explorera.
14 sigurnosnih popravaka u jednom ažuriranju
Sada Google objavljuje Sigurnosno upozorenje za Chrome, za koju biste možda željeli znati da uključuje zakrpu nultih dana (CVE-2021-30551) Chromeova JavaScript mehanizma, među ostalih 14 službeno navedenih sigurnosnih ispravki.
Za one koji još uvijek nisu upoznati s pojmom, Nulti dan je maštovito vrijeme, jer se ova vrsta cyberattacka događa za manje od jednog dana od svijesti o sigurnosnoj grešci.
Stoga programerima ne daje gotovo dovoljno vremena da iskorijene ili ublaže potencijalne rizike povezane s ovom ranjivošću.
Slično Mozilli, Google također grupira druge potencijalne greške koje je pronašao koristeći generičke metode lova na greške, navedene kao Razni popravci iz internih revizija, fuzzinga i drugih inicijativa.
Fuzzeri mogu proizvesti, ako ne i milijune, stotine milijuna testnih ulaza tijekom razdoblja ispitivanja.
Međutim, jedine informacije koje trebaju pohraniti su slučajevi zbog kojih se program ponaša loše ili pada.
To znači da se kasnije mogu koristiti u procesu, kao polazišta za lovce na ljudske bube, što će također uštedjeti puno vremena i radne snage.
Bube se iskorištavaju u divljini
Google započinje spominjanjem greške nultog dana, navodeći da su] svjesni da exploit za CVE-2021-30551 postoji u divljini.
Ova određena greška navedena je kao zbrka tipa u V8, gdje V8 predstavlja dio Chromea koji pokreće JavaScript kôd.
Zbrka tipa znači da možete V8-u pružiti jednu stavku podataka, a pritom prevariti JavaScript da je rukuje kao da se radi o nečem potpuno drugačijem, potencijalno zaobilazeći sigurnost ili čak pokrećući neovlašteni kod.
Kao što većina vas možda zna, kršenja sigurnosti JavaScript-a koja može pokrenuti JavaScript kôd ugrađen u web stranicu, češće rezultiraju RCE iskorištavanjem ili čak daljinskim izvršavanjem koda.
Uz sve ovo rečeno, Google ne pojašnjava može li se greška CVE-2021-30551 koristiti za hardcore daljinsko izvršavanje koda, što obično znači da su korisnici ranjivi na cyber-napade.
Samo da biste dobili ideju koliko je ovo ozbiljno, zamislite surfati web stranicom, a da zapravo ne kliknete nijednu skočnih prozora, mogao dopustiti zlonamjernim trećim stranama da neprimjetno pokreću kôd i ugrađuju malware na vaše računalo.
Dakle, CVE-2021-30551 dobiva samo visoku ocjenu, uz samo programsku pogrešku koja nije u divljini (CVE-2021-30544), klasificiranu kao kritičnu.
Moguće je da je grešci CVE-2021-30544 pripisan kritički spomen jer bi se mogao iskoristiti za RCE.
Međutim, za sada ne postoji sugestija da bilo tko osim Googlea, kao ni istraživači koji su to prijavili, to zna učiniti.
Tvrtka također spominje da pristup detaljima grešaka i vezama može biti ograničen dok se većina korisnika ne ažurira ispravkom
Kakvo je vaše mišljenje o najnovijoj Googleovoj zakrpi nultih dana? Podijelite svoje misli s nama u odjeljku za komentare u nastavku.
