- גוגל משחררת ייעוץ אבטחה של Chrome, הכולל תיקון אפס יום למנוע ה- JavaScript של Chrome.
- CVE-2021-30551 מקבל דירוג גבוה, עם רק באג אחד שאינו בטבע, מנוצל על ידי צדדים שלישיים זדוניים.
- על פי גוגל, הגישה לפרטי באגים ולקישורים עשויה להיות מוגבלת עד שרוב המשתמשים יעודכנו בתיקון.
- ה הבאג CVE-2021-30551 מופיע על ידי גוגל כבלבול מסוג ב- V8, כלומר ניתן לעקוף את אבטחת JavaScript להפעלת קוד לא מורשה.
המשתמשים עדיין מתעכבים על מיקרוסופט הקודמת הודעת תיקון יום שלישי, שהיה די גרוע לדעתם, עם שש פגיעות בטבע.
שלא לדבר על זה שקבור עמוק בתוך שרידי קוד העיבוד המקוון MSHTML של Internet Explorer.
14 תיקוני אבטחה בעדכון יחיד אחד
עכשיו, גוגל משחררת ייעוץ אבטחה של Chrome, שתרצה לדעת כולל תיקון אפס יום (CVE-2021-30551) למנוע ה- JavaScript של Chrome, בין 14 תיקוני האבטחה הרשומים האחרים שלו.
למי שעדיין לא מכיר את המונח, אפס יום הוא זמן דמיוני, שכן סוג זה של מתקפות סייבר מתרחש תוך פחות מיום מאז המודעות לפגם הביטחוני.
לכן, זה לא נותן למפתחים מספיק זמן למגר או למתן את הסיכונים הפוטנציאליים הכרוכים בפגיעות זו.
בדומה למוזילה, גוגל גם מקבצת באגים פוטנציאליים אחרים שמצאה בשיטות כלליות לציד באגים, המופיעות בשם
תיקונים שונים מביקורות פנימיות, מטושטשות ויזמות אחרות.Fuzzers יכולים לייצר אם לא מיליוני, מאות מיליוני תשומות בדיקה לאורך תקופת ההוכחה.
עם זאת, המידע היחיד שהם צריכים לאחסן הוא במקרים שגורמים להתנהגות לא נכונה של התוכנית, או לקרוס.
המשמעות היא שניתן להשתמש בהם בהמשך התהליך, כנקודות התחלה לציידים של באגים אנושיים, אשר גם יחסכו זמן וכוח אדם רב.
באגים מנוצלים בטבע
גוגל מתחילה להזכיר את הבאג של אפס יום, וקובעת שהם מודעים לכך שקיים ניצול ל- CVE-2021-30551 בטבע..
באג מסוים זה מופיע בתור סוג בלבול ב- V8, כאשר V8 מייצג את החלק של Chrome שמריץ קוד JavaScript.
בלבול מסוג פירושו שתוכל לספק ל- V8 פריט נתונים אחד, תוך הטעיית JavaScript לטיפול בו כאילו שזה משהו אחר לגמרי, שעוקף פוטנציאל את האבטחה או אפילו מריץ קוד לא מורשה.
כפי שרובכם אולי יודעים, הפרות אבטחה של JavaScript העלולות להופיע על ידי קוד JavaScript המוטמע בדף אינטרנט, גורמות לא פעם לניצולי RCE, או אפילו לביצוע קוד מרחוק.
עם כל האמור, גוגל לא מבהירה אם ניתן להשתמש בבאג CVE-2021-30551 לביצוע קוד מרחוק הארדקור, מה שמשמעותו בדרך כלל שמשתמשים חשופים להתקפות סייבר.
רק כדי לקבל מושג עד כמה זה רציני, דמיין גלישה באתר, מבלי ללחוץ על אף אחד חלונות קופצים, יכולים לאפשר לצדדים שלישיים זדוניים להריץ קוד באופן בלתי נראה ולהשתיל תוכנות זדוניות במחשב שלך.
לפיכך, CVE-2021-30551 זוכה רק לדירוג גבוה, אך רק באג שאינו בטבע (CVE-2021-30544), המסווג כקריטי.
יכול להיות שבאג ה- CVE-2021-30544 יוחס לו האזכור הקריטי מכיוון שאפשר היה לנצל אותו ל- RCE.
עם זאת, אין שום הצעה שמישהו מלבד גוגל, כמו גם החוקרים שדיווחו כי ידעו לעשות זאת, כרגע.
החברה גם מזכירה כי הגישה לפרטי באגים ולקישורים עשויה להיות מוגבלת עד שרוב המשתמשים יעודכנו בתיקון
מה דעתך על התיקון האחרון של אפס יום על ידי גוגל? שתף אותנו במחשבותיך בסעיף ההערות למטה.
