- Google გამოაქვეყნებს Chrome უსაფრთხოების კონსულტაციები, რომელიც მოიცავს ნულოვანი დღის პატჩს Chrome- ის JavaScript ძრავაში.
- CVE-2021-30551 იღებს მაღალ შეფასებას, მხოლოდ ერთი შეცდომით, რომელიც ბუნებაში არ არის, რომელსაც იყენებენ მავნე მესამე მხარეები.
- Google- ის თანახმად, შეცდომების დეტალებსა და ბმულებზე წვდომა შეიძლება შეიზღუდოს, სანამ მომხმარებლების უმრავლესობა არ განახლდება.
- CVE-2021-30551 შეცდომა Google– მა ჩამოთვალა, როგორც V8– ში ტიპის დაბნეულობა, რაც ნიშნავს, რომ არასანქცირებული კოდის გაშვებისთვის შეიძლება გვერდის ავლით JavaScript უსაფრთხოების დაცვა.
მომხმარებლები კვლავ საუბრობენ წინა Microsoft- ზე პატჩის სამშაბათის განცხადება, რაც მათი აზრით საკმაოდ ცუდი იყო, ექვსი გარეული დაუცველობით დაპატჩა.
რომ აღარაფერი ვთქვათ იმაზე, რომ იგი ღრმად არის დაკრძალული Internet Explorer- ის MSHTML ვებგვერდის კოდის ნარჩენებში.
უსაფრთხოების 14 შესწორება ერთ განახლებაში
ახლა, Google გამოაქვეყნებს Chrome უსაფრთხოების კონსულტაციები, რომლის ცოდნაც შეიძლება დაგჭირდეთ, შეიცავს ნულოვანი დღის პატჩს (CVE-2021-30551) Chrome- ის JavaScript ძრავაში, მის სხვა ოფიციალურად ჩამოთვლილ უსაფრთხოების სხვა 14 გამოსწორებებში.
მათთვის, ვინც ჯერ კიდევ არ იცნობს ტერმინს, ნულოვანი დღე არის წარმოსახვითი დრო, რადგან ამ ტიპის კიბერშეტევა ხდება დღეში ნაკლებ დროში უსაფრთხოების ხარვეზის ცოდნის შემდეგ.
ამიტომ, ის დეველოპერებს არ აძლევს თითქმის საკმარის დროს ამ დაუცველობასთან დაკავშირებული პოტენციური რისკების აღმოსაფხვრელად ან შესამსუბუქებლად.
Mozilla– ს მსგავსად, Google ასევე აერთიანებს სხვა პოტენციურ შეცდომებს, რომლებიც მან აღმოაჩინა ზოგადი შეცდომებით ნადირობის მეთოდებით, ჩამოთვლილი როგორც სხვადასხვა სახის შესწორებები შიდა აუდიტის, დამაბნეველი და სხვა ინიციატივებისგან.
Fuzzer- ს შეუძლია აწარმოოს, თუ არა მილიონი, ასობით მილიონი ტესტის მასალა, დამტკიცების პერსპექტივაში.
ამასთან, ერთადერთი ინფორმაცია, რაც მათ სჭირდებათ შესანახად, არის ის შემთხვევები, რომლებიც იწვევს პროგრამის არასათანადო მოპყრობას, ან ავარიას.
ეს ნიშნავს, რომ მათი გამოყენება მოგვიანებით შეიძლება, როგორც ამოსავალი წერტილები ადამიანის შეცდომებზე მონადირეებისთვის, რაც ასევე დაზოგავს დიდ დროს და სამუშაო ძალის.
ბუნების გამოყენებით ხდება შეცდომების გამოყენება
Google იწყებს ნულოვანი დღის შეცდომის ხსენებას და აცხადებს, რომ მათ] იციან, რომ CVE-2021-30551– ის ექსპლოიტი ბუნებაში არსებობს.
ეს კონკრეტული შეცდომა ჩამოთვლილია, როგორც ტიპის დაბნეულობა V8- ში, სადაც V8 წარმოადგენს Chrome ის ნაწილს, რომელიც მუშაობს JavaScript კოდს.
ტიპის დაბნეულობა ნიშნავს, რომ თქვენ შეგიძლიათ V8– ს მიაწოდოთ ერთი ერთეული, ხოლო JavaScript– ს მოატყუოთ მისი მართვა თითქოს ეს სულ სხვა რამეა, პოტენციურად უსაფრთხოების გვერდის ავლით ან არასანქცირებული კოდის გაშვებაც კი.
როგორც უმეტესობამ შეიძლება იცოდეს, JavaScript– ის უსაფრთხოების დარღვევები, რაც შეიძლება გამოწვეული იყოს JavaScript კოდის მიერ, რომელიც ვებ – გვერდზეა განთავსებული, უფრო ხშირად იწვევს RCE– ს ექსპლოიტებს, ან თუნდაც დისტანციურ კოდექსს.
ამ ყველაფრის გათვალისწინებით, Google არ განმარტავს, CVE-2021-30551 შეცდომა შეიძლება გამოყენებულ იქნას თუ არა დისტანციური კოდის შესრულებისთვის, რაც ჩვეულებრივ ნიშნავს, რომ მომხმარებლები დაუცველები არიან კიბერშეტევებისგან.
უბრალოდ იმის წარმოდგენისთვის, თუ რამდენად სერიოზულია ეს, წარმოიდგინეთ ვებსაიტი ვებგვერდზე, რომელიმეზე რეალურად დაწკაპუნების გარეშე ამომხტარი ფანჯრები, საშუალებას მისცემს მავნე მესამე პირებს კოდის უხილავად გაშვება და თქვენს კომპიუტერში მავნე პროგრამების დანერგვა.
ამრიგად, CVE-2021-30551 მხოლოდ მაღალ შეფასებას იღებს, მხოლოდ შეცდომით, რომელიც ბუნებაში არ არის (CVE-2021-30544), კრიტიკულად შეფასებული.
ეს შეიძლება იყოს, რომ CVE-2021-30544 შეცდომას კრიტიკული ხსენება მიეკუთვნებოდა, რადგან ის შეიძლება გამოყენებულ იქნას RCE– სთვის.
ამასთან, არ არსებობს ვარაუდი, რომ ვინმეს გარდა Google- ისა, ისევე როგორც მკვლევარებმა, რომლებმაც განაცხადეს, ამ ეტაპზე იციან ამის გაკეთება.
კომპანია ასევე აღნიშნავს, რომ შეცდომების დეტალებსა და ბმულებზე წვდომა შეიძლება შეიზღუდოს, სანამ მომხმარებლების უმრავლესობა განახლდება.
რას ფიქრობთ Google- ის მიერ ნულოვანი დღის უახლეს პაჩზე? გაგვიზიარეთ თქვენი მოსაზრებები ქვემოთ მოცემულ კომენტარში.
