La patch zero-day di Chrome contiene 14 importanti correzioni di sicurezza

Gli utenti si stanno ancora soffermando sul precedente Microsoft Annuncio del martedì della patch, che secondo loro era piuttosto negativo, con sei vulnerabilità in-the-wild patchate.

Per non parlare di quello sepolto in profondità nelle vestigia del codice di rendering Web MSHTML di Internet Explorer.

14 correzioni di sicurezza in un unico aggiornamento

Ora, Google rilascia Avviso sulla sicurezza di Chrome

, che potresti voler sapere include una patch zero-day (CVE-2021-30551) per il motore JavaScript di Chrome, tra le altre 14 correzioni di sicurezza ufficialmente elencate.

Per chi ancora non conoscesse il termine, Zero-day è un momento fantasioso, poiché questo tipo di attacco informatico avviene in meno di un giorno dalla consapevolezza della falla di sicurezza.

Pertanto, non offre agli sviluppatori il tempo sufficiente per eliminare o mitigare i potenziali rischi associati a questa vulnerabilità.

Simile a Mozilla, Google raggruppa anche altri potenziali bug che ha trovato utilizzando metodi generici di ricerca dei bug, elencati come Varie correzioni da audit interni, fuzzing e altre iniziative.

I fuzzer possono produrre se non milioni, centinaia di milioni di input di test nell'arco della corsa di prova.

Tuttavia, le uniche informazioni che devono memorizzare sono nei casi che causano un comportamento anomalo o un arresto anomalo del programma.

Ciò significa che possono essere utilizzati in seguito nel processo, come punti di partenza per i cacciatori di insetti umani, risparmiando anche molto tempo e manodopera.

Gli insetti vengono sfruttati in natura

Google inizia menzionando il bug zero-day, affermando di essere a conoscenza dell'esistenza di un exploit per CVE-2021-30551 allo stato brado.

Questo particolare bug è elencato come tipo confusione in V8, dove V8 rappresenta la parte di Chrome che esegue il codice JavaScript.

Confusione di tipo significa che puoi fornire a V8 un elemento di dati, ingannando JavaScript nel gestirlo come se fosse qualcosa di completamente diverso, potenzialmente aggirando la sicurezza o addirittura eseguendo codice non autorizzato.

Come molti di voi sapranno, le violazioni della sicurezza JavaScript che possono essere attivate dal codice JavaScript incorporato in una pagina Web, molto spesso si traducono in exploit RCE o persino nell'esecuzione di codice remoto.

Detto questo, Google non sta chiarendo se il bug CVE-2021-30551 può essere utilizzato per l'esecuzione di codice remoto hardcore, il che di solito significa che gli utenti sono vulnerabili agli attacchi informatici.

Giusto per avere un'idea di quanto sia grave, immagina di navigare in un sito Web, senza effettivamente fare clic su nessuno popup, potrebbero consentire a terzi malintenzionati di eseguire il codice in modo invisibile e di impiantare malware nel computer.

Pertanto, CVE-2021-30551 ottiene solo un punteggio elevato, con solo un bug che non è in circolazione (CVE-2021-30544), classificato come critico.

Potrebbe essere che al bug CVE-2021-30544 sia stata attribuita la menzione critica perché potrebbe essere sfruttato per RCE.

Tuttavia, non c'è alcun suggerimento che qualcun altro oltre a Google, così come i ricercatori che lo hanno segnalato, sappiano come farlo, per il momento.

La società afferma inoltre che l'accesso ai dettagli dei bug e ai collegamenti può essere limitato fino a quando la maggior parte degli utenti non viene aggiornata con una correzione

Qual è la tua opinione sull'ultima patch zero day di Google? Condividi i tuoi pensieri con noi nella sezione commenti qui sotto.