- Google izlaiž Chrome drošības padoms, kas ietver nulles dienas plāksteri Chrome JavaScript motoram.
- CVE-2021-30551 saņem augstu novērtējumu, un tajā ir tikai viena kļūda, kas nav savvaļā un kuru ļaunprātīgas trešās puses izmanto.
- Pēc Google domām, piekļuve kļūdu informācijai un saitēm var tikt ierobežota, līdz lielākajai daļai lietotāju tiks atjaunināts labojums.
- The CVE-2021-30551 kļūdu Google ir uzskaitījis kā tipa neskaidrību V8, kas nozīmē, ka JavaScript drošību var apiet, darbinot nesankcionētu kodu.
Lietotāji joprojām dzīvo iepriekšējā Microsoft Patch otrdienas paziņojums, kas, viņuprāt, bija diezgan slikti, un tika izlaboti seši savvaļas ievainojamības punkti.
Nemaz nerunājot par to, kas apglabāts dziļi Internet Explorer MSHTML tīmekļa renderēšanas koda paliekās.
14 drošības labojumi vienā atjauninājumā
Tagad Google izlaiž Chrome drošības padoms, kuru, iespējams, vēlēsities uzzināt, ir iekļauts nulles dienas plāksteris (CVE-2021-30551) Chrome JavaScript motoram, starp citiem 14 oficiāli uzskaitītajiem drošības labojumiem.
Tiem, kuri joprojām nav pazīstami ar šo terminu, Nulles diena ir iztēles laiks, jo šāda veida kiberuzbrukums notiek mazāk nekā vienas dienas laikā kopš drošības trūkuma apzināšanās.
Tāpēc tas nedod izstrādātājiem gandrīz pietiekami daudz laika, lai izskaustu vai mazinātu ar šo ievainojamību saistītos iespējamos riskus.
Līdzīgi kā Mozilla, arī Google apvieno citas iespējamās kļūdas, kuras tā ir atradusi, izmantojot vispārīgas kļūdu meklēšanas metodes, kas uzskaitītas kā Dažādi labojumi no iekšējiem auditiem, satraukumiem un citām iniciatīvām.
Fuzzers var radīt, ja ne miljoniem, simtiem miljonu testa izejvielu pierādīšanas gaitā.
Tomēr vienīgā informācija, kas viņiem jāglabā, ir gadījumos, kad programma darbojas nepareizi vai avarē.
Tas nozīmē, ka tos var izmantot vēlāk šajā procesā kā sākumpunktu cilvēku kļūdu medniekiem, kas arī ietaupīs daudz laika un darbaspēka.
Kļūdas tiek izmantotas savvaļā
Google vispirms piemin nulles dienas kļūdu, norādot, ka viņi apzinās, ka savvaļā pastāv CVE-2021-30551 izmantojums.
Šī konkrētā kļūda ir norādīta kā tipa neskaidrības V8, kur V8 apzīmē Chrome daļu, kurā darbojas JavaScript kods.
Jaukšanas veida sajaukšana nozīmē, ka jūs varat nodrošināt V8 ar vienu datu vienumu, vienlaikus pievilinot JavaScript ar to rīkoties it kā tas būtu kaut kas pilnīgi atšķirīgs, potenciāli apejot drošību vai pat palaistu neatļautu kodu.
Kā lielākā daļa no jums varētu zināt, JavaScript drošības pārkāpumi, ko var izraisīt tīmekļa lapā iegultais JavaScript kods, vairāk nekā bieži rada RCE izmantojumus vai pat attālu koda izpildi.
Ņemot to visu vērā, Google neskaidro, vai kļūdu CVE-2021-30551 var izmantot koda attālajai izpildei, kas parasti nozīmē, ka lietotāji ir neaizsargāti pret kiberuzbrukumiem.
Tikai, lai iegūtu priekšstatu par to, cik tas ir nopietni, iedomājieties sērfošanu vietnē, faktiski neklikšķinot uz neviena uznirstošie logi var atļaut ļaunprātīgām trešajām pusēm nemanāmi palaist kodu un implantēt datorā ļaunprātīgu programmatūru.
Tādējādi CVE-2021-30551 iegūst tikai augstu vērtējumu, tikai ar kļūdu, kas nav savvaļā (CVE-2021-30544), kas klasificēta kā kritiska.
Var būt, ka kļūdai CVE-2021-30544 tika piešķirta kritiska pieminēšana, jo to varēja izmantot RCE.
Tomēr pašlaik nav ieteikumu, ka kāds cits, izņemot Google, kā arī pētnieki, kas par to ziņoja, zina, kā to izdarīt.
Uzņēmums arī min, ka piekļuve informācijai par kļūdām un saitēm var tikt ierobežota līdz brīdim, kad lielākā daļa lietotāju tiks atjaunināti ar labojumu
Kāds ir jūsu viedoklis par Google pēdējo nulles dienas plāksteri? Dalieties savās domās ar mums komentāru sadaļā zemāk.
