- A Google kiadja Chrome biztonsági tanácsadás, amely egy nulla napos javítást tartalmaz a Chrome JavaScript motorjához.
- A CVE-2021-30551 magas minősítést kap, egyetlen hibát talál ki, amely nem a vadonban található, és rosszindulatú harmadik felek használják ki.
- A Google szerint a hibák részleteihez és linkekhez való hozzáférés korlátozott lehet, amíg a felhasználók többségét javítással nem frissítik.
- A A CVE-2021-30551 hibát a Google típuszavarként sorolja fel a V8-ban, ami azt jelenti, hogy a JavaScript biztonsága megkerülhető az illetéktelen kód futtatása esetén.
A felhasználók továbbra is az előző Microsoft-on laknak Patch keddi bejelentés, ami véleményük szerint elég rossz volt, hat vadon élő sérülékenységet javítottak.
Nem is beszélve arról, amely az Internet Explorer MSHTML webes megjelenítési kódjának mélyeibe van temetve.
14 biztonsági javítás egyetlen frissítésben
Most a Google kiadja Chrome biztonsági tanácsadás, amelyet érdemes tudni, tartalmaz egy nulla napos javítást (CVE-2021-30551) a Chrome JavaScript-motorjához, a többi 14 hivatalosan felsorolt biztonsági javítás mellett.
Azok számára, akik még mindig nem ismerik a kifejezést, Nulla nap fantáziadús idő, mivel ez a fajta kibertámadás kevesebb, mint egy nap alatt megtörténik a biztonsági hiba észlelése óta.
Ezért nem ad elegendő időt a fejlesztőknek a biztonsági réshez kapcsolódó potenciális kockázatok felszámolására vagy enyhítésére.
A Mozillához hasonlóan a Google összegyűjti azokat a lehetséges hibákat is, amelyeket általános hibakeresési módszerekkel talált, amelyek Különböző javítások a belső ellenőrzésekből, a fuzzingből és más kezdeményezésekből.
A fuzzerek ha nem is millió, százmillió tesztbevitelt képesek előállítani a bizonyítási futtatás során.
Azonban csak azokban az esetekben kell információt tárolniuk, amelyek a program hibás működését vagy összeomlását okozzák.
Ez azt jelenti, hogy később felhasználhatók a folyamat során, kiindulópontként az emberi poloska vadászok számára, ami szintén sok időt és munkaerőt fog megtakarítani.
A hibákat kihasználják a vadonban
A Google a nulla napos hiba megemlítésével kezdi, kijelentve, hogy tudatában vannak annak, hogy a CVE-2021-30551 kizsákmányolása létezik a vadonban.
Ez a hiba a következő néven szerepel: típusú zavart a V8-ban, ahol a V8 a Chrome JavaScript kódot futtató részét jelenti.
A típuszavar azt jelenti, hogy a V8-nak egyetlen adatot adhat meg, miközben a JavaScriptet átdolgozza annak kezelésére mintha valami egészen másról lenne szó, potenciálisan megkerülve a biztonságot, vagy akár jogosulatlan kódot futtatva.
Mint a legtöbben tudják, a JavaScript biztonsági megsértései, amelyeket a weboldalba ágyazott JavaScript-kód válthat ki, többnyire gyakran RCE-kiaknázásokat vagy akár távoli kódfuttatást eredményeznek.
Mindezek ellenére a Google nem tisztázza, hogy a CVE-2021-30551 hiba használható-e a kemény távoli kódfuttatásra, ami általában azt jelenti, hogy a felhasználók kiszolgáltatottak a számítógépes támadásoknak.
Csak azért, hogy képet kapjon arról, hogy ez mennyire komoly, képzelje el, hogy szörfözik egy weboldalon, anélkül, hogy valakire rákattintana felugró ablakok lehetővé tehetik rosszindulatú harmadik felek számára a kód láthatatlan futtatását, és rosszindulatú programok beültetését a számítógépére.
Így a CVE-2021-30551 csak magas minősítést kap, pusztán egy olyan hibát, amely nem a vadonban található (CVE-2021-30544), és kritikus besorolású.
Előfordulhat, hogy a CVE-2021-30544 hibának tulajdonították a kritikus említést, mert kihasználható az RCE számára.
Jelenleg azonban nincs arra utaló javaslat, hogy a Google-n kívül bárki, valamint az arról beszámoló kutatók tudnák, hogyan kell ezt megtenni.
A vállalat megemlíti azt is, hogy a hibajavításokhoz és a linkekhez való hozzáférés korlátozott lehet, amíg a felhasználók többségét javítással nem frissítik
Mi a véleménye a Google legújabb nulla napos javításáról? Ossza meg velünk gondolatait az alábbi megjegyzések részben.
