- „Google“ išleidžia „Chrome“ patarimas dėl saugos, kuris apima „Chrome“ „JavaScript“ variklio nulinės dienos pataisą.
- CVE-2021-30551 gauna aukštą įvertinimą, kuriame yra tik viena klaida, kuri nėra laukinėje gamtoje, kuria naudojasi kenksmingos trečiosios šalys.
- Pasak „Google“, prieiga prie išsamios informacijos apie klaidas ir nuorodas gali būti ribojama tol, kol dauguma vartotojų bus pataisyti.
- The CVE-2021-30551 klaidą „Google“ V8 sąraše nurodo kaip tipo painiavą, o tai reiškia, kad „JavaScript“ saugumą galima apeiti vykdant neleistiną kodą.
Vartotojai vis dar gyvena ankstesnėje „Microsoft“ Pataisos antradienio pranešimas, kas, jų manymu, buvo gana blogai, užtaisyti šeši laukiniai pažeidžiamumai.
Jau nekalbant apie tą, kuris palaidotas giliai „Internet Explorer“ žiniatinklio atvaizdavimo MSHTML koduose.
14 saugos pataisų viename atnaujinime
Dabar „Google“ išleidžia „Chrome“ patarimas dėl saugos, kurį galbūt norėsite žinoti, apima „Chrome“ „JavaScript“ variklio nulinės dienos pataisą (CVE-2021-30551), be kitų 14 oficialiai išvardytų saugos pataisų.
Tiems, kurie dar nėra susipažinę su terminu, Nulis dienos yra vaizduotės laikas, nes tokio tipo kibernetinės atakos įvyksta mažiau nei per dieną nuo saugumo trūkumo suvokimo.
Todėl kūrėjams nesuteikiama beveik pakankamai laiko pašalinti ar sumažinti galimą riziką, susijusią su šiuo pažeidžiamumu.
Panašiai kaip „Mozilla“, „Google“ taip pat kaupia kitas galimas klaidas, kurias rado naudodama bendruosius klaidų ieškojimo metodus, išvardytus kaip Įvairūs pataisymai iš vidaus auditų, šurmulio ir kitų iniciatyvų.
„Fuzzers“ gali pateikti jei ne milijonus, šimtus milijonų bandomųjų duomenų per įrodomąjį laikotarpį.
Tačiau vienintelė informacija, kurią jiems reikia saugoti, yra tais atvejais, kai programa netinkamai elgiasi arba sugenda.
Tai reiškia, kad vėliau juos galima naudoti kaip atspirties taškus klaidų medžiotojams, kurie taip pat sutaupys daug laiko ir darbo jėgos.
Klaidos yra išnaudojamos laukinėje gamtoje
„Google“ pirmiausia pamini „nulinės dienos“ klaidą teigdama, kad jie] žino, kad gamtoje egzistuoja CVE-2021-30551 išnaudojimas.
Ši konkreti klaida yra nurodyta kaip tipo painiava V8, kur V8 reiškia „Chrome“ dalį, kurioje veikia „JavaScript“ kodas.
Tipo supainiojimas reiškia, kad galite pateikti V8 vieną duomenų elementą, tuo pačiu apgaunant „JavaScript“ jį tvarkant tarsi kažkas būtų visiškai kitoks, galintis apeiti saugumą ar net paleisti neleistiną kodą.
Kaip daugelis iš jūsų galbūt žino, „JavaScript“ saugumo pažeidimai, kuriuos gali sukelti tinklalapyje įdėtas „JavaScript“ kodas, dažniausiai sukelia RCE išnaudojimą ar net nuotolinį kodo vykdymą.
Visa tai pasakius, „Google“ neaiškina, ar CVE-2021-30551 klaida gali būti naudojama vykdant nuotolinį kodą, o tai paprastai reiškia, kad vartotojai yra pažeidžiami kibernetinių atakų.
Kad įsivaizduotumėte, kaip tai rimta, įsivaizduokite naršymą svetainėje, tiesiai nieko nespustelėdami iššokantys langai gali leisti kenkėjiškoms trečiosioms šalims nepastebimai paleisti kodą ir implantuoti kenkėjiškas programas jūsų kompiuteryje.
Taigi CVE-2021-30551 gauna tik aukštą įvertinimą, o tik klaida, kuri nėra laukinėje gamtoje (CVE-2021-30544), priskiriama kritinėms.
Gali būti, kad CVE-2021-30544 klaida buvo kritiškai paminėta, nes ją galima panaudoti RCE.
Tačiau šiuo metu nėra jokių pasiūlymų, kad kas nors kitas, išskyrus „Google“, ir apie tai pranešę mokslininkai žinotų, kaip tai padaryti.
Bendrovė taip pat mini, kad prieiga prie informacijos apie klaidas ir nuorodas gali būti ribojama, kol dauguma vartotojų nebus atnaujinti
Kaip vertinate naujausią „Google“ nulinės dienos pataisą? Pasidalykite savo mintimis su mumis toliau pateiktame komentarų skyriuje.
