תיקון האפס של Chrome מכיל 14 תיקוני אבטחה חשובים

  • גוגל משחררת ייעוץ אבטחה של Chrome, הכולל תיקון אפס יום למנוע ה- JavaScript של Chrome.
  • CVE-2021-30551 מקבל דירוג גבוה, עם רק באג אחד שאינו בטבע, מנוצל על ידי צדדים שלישיים זדוניים.
  • על פי גוגל, הגישה לפרטי באגים ולקישורים עשויה להיות מוגבלת עד שרוב המשתמשים יעודכנו בתיקון.
  • ה הבאג CVE-2021-30551 מופיע על ידי גוגל כבלבול מסוג ב- V8, כלומר ניתן לעקוף את אבטחת JavaScript להפעלת קוד לא מורשה.
יום אפס של Chrome

המשתמשים עדיין מתעכבים על מיקרוסופט הקודמת הודעת תיקון יום שלישי, שהיה די גרוע לדעתם, עם שש פגיעות בטבע.

שלא לדבר על זה שקבור עמוק בתוך שרידי קוד העיבוד המקוון MSHTML של Internet Explorer.

14 תיקוני אבטחה בעדכון יחיד אחד

עכשיו, גוגל משחררת ייעוץ אבטחה של Chrome, שתרצה לדעת כולל תיקון אפס יום (CVE-2021-30551) למנוע ה- JavaScript של Chrome, בין 14 תיקוני האבטחה הרשומים האחרים שלו.

למי שעדיין לא מכיר את המונח, אפס יום הוא זמן דמיוני, שכן סוג זה של מתקפות סייבר מתרחש תוך פחות מיום מאז המודעות לפגם הביטחוני.

לכן, זה לא נותן למפתחים מספיק זמן למגר או למתן את הסיכונים הפוטנציאליים הכרוכים בפגיעות זו.

בדומה למוזילה, גוגל גם מקבצת באגים פוטנציאליים אחרים שמצאה בשיטות כלליות לציד באגים, המופיעות בשם

תיקונים שונים מביקורות פנימיות, מטושטשות ויזמות אחרות.

Fuzzers יכולים לייצר אם לא מיליוני, מאות מיליוני תשומות בדיקה לאורך תקופת ההוכחה.

עם זאת, המידע היחיד שהם צריכים לאחסן הוא במקרים שגורמים להתנהגות לא נכונה של התוכנית, או לקרוס.

המשמעות היא שניתן להשתמש בהם בהמשך התהליך, כנקודות התחלה לציידים של באגים אנושיים, אשר גם יחסכו זמן וכוח אדם רב.

באגים מנוצלים בטבע

גוגל מתחילה להזכיר את הבאג של אפס יום, וקובעת שהם מודעים לכך שקיים ניצול ל- CVE-2021-30551 בטבע..

באג מסוים זה מופיע בתור סוג בלבול ב- V8, כאשר V8 מייצג את החלק של Chrome שמריץ קוד JavaScript.

בלבול מסוג פירושו שתוכל לספק ל- V8 פריט נתונים אחד, תוך הטעיית JavaScript לטיפול בו כאילו שזה משהו אחר לגמרי, שעוקף פוטנציאל את האבטחה או אפילו מריץ קוד לא מורשה.

כפי שרובכם אולי יודעים, הפרות אבטחה של JavaScript העלולות להופיע על ידי קוד JavaScript המוטמע בדף אינטרנט, גורמות לא פעם לניצולי RCE, או אפילו לביצוע קוד מרחוק.

עם כל האמור, גוגל לא מבהירה אם ניתן להשתמש בבאג CVE-2021-30551 לביצוע קוד מרחוק הארדקור, מה שמשמעותו בדרך כלל שמשתמשים חשופים להתקפות סייבר.

רק כדי לקבל מושג עד כמה זה רציני, דמיין גלישה באתר, מבלי ללחוץ על אף אחד חלונות קופצים, יכולים לאפשר לצדדים שלישיים זדוניים להריץ קוד באופן בלתי נראה ולהשתיל תוכנות זדוניות במחשב שלך.

לפיכך, CVE-2021-30551 זוכה רק לדירוג גבוה, אך רק באג שאינו בטבע (CVE-2021-30544), המסווג כקריטי.

יכול להיות שבאג ה- CVE-2021-30544 יוחס לו האזכור הקריטי מכיוון שאפשר היה לנצל אותו ל- RCE.

עם זאת, אין שום הצעה שמישהו מלבד גוגל, כמו גם החוקרים שדיווחו כי ידעו לעשות זאת, כרגע.

החברה גם מזכירה כי הגישה לפרטי באגים ולקישורים עשויה להיות מוגבלת עד שרוב המשתמשים יעודכנו בתיקון

מה דעתך על התיקון האחרון של אפס יום על ידי גוגל? שתף אותנו במחשבותיך בסעיף ההערות למטה.

כיצד לתקן את האודיו של Udemy אם הוא לא עובד בכרום

כיצד לתקן את האודיו של Udemy אם הוא לא עובד בכרוםאודמיגוגל כרום

Udemy היא פלטפורמה רבת עוצמה ללמוד על כל דבר שמעניין אותך.בעוד Udemy עובד נהדר עם כל דפדפן, יש כמה בעיות שמע עם Chrome שמספר משתמשים דיווחו עליהן.מדריך זה מפרט כמה פתרונות שעשויים לעזור לך לתקן את ...

קרא עוד
כיצד לתקן את העימות של פוקימון אם זה לא עובד [Safari, Chrome]

כיצד לתקן את העימות של פוקימון אם זה לא עובד [Safari, Chrome]פוקימוןמשחקים בספאריגוגל כרום

Pokémon Showdown הוא סימולטור קרבות פופולרי שנוצר על ידי Smogon המופעל באמצעות הדפדפן במחשב ובנייד.משתמשים דיווחו שהם תקועים במסך הטעינה ב-Pokémon Showdown למרות שיש להם חיבור יציב.ייתכן שלמשחק יהי...

קרא עוד
וידאו של Amazon Prime לא עובד בכרום: 3 דרכים לתקן את זה

וידאו של Amazon Prime לא עובד בכרום: 3 דרכים לתקן את זהשגיאות ראשוניות של אמזוןגוגל כרום

Google Chrome הוא דפדפן תואם להזרמת תוכן מאמזון פריים וידאו.עם זאת, יש חבורה של משתמשים שדיווחו שהם מתמודדים עם Amazon Prime Video לא עובד בבעיית Chrome.3 הפתרונות הפשוטים אך היעילים המוזכרים במדרי...

קרא עוד