- Google-releases Chrome-beveiligingsadvies, die een zero-day-patch bevat voor de JavaScript-engine van Chrome.
- CVE-2021-30551 krijgt een hoge beoordeling, met slechts één bug die niet in het wild voorkomt en wordt uitgebuit door kwaadwillende derden.
- Volgens Google kan de toegang tot bugdetails en links beperkt worden gehouden totdat een meerderheid van de gebruikers is bijgewerkt met een oplossing.
- De CVE-2021-30551-bug wordt door Google vermeld als typeverwarring in V8, wat betekent dat JavaScript-beveiliging kan worden omzeild voor het uitvoeren van ongeautoriseerde code.
Gebruikers blijven stilstaan bij de vorige Microsoft Patch dinsdag aankondiging, wat naar hun mening behoorlijk slecht was, met zes in het wild gepatchte kwetsbaarheden.
Om nog maar te zwijgen van degene die diep begraven ligt in de overblijfselen van de MSHTML-webweergavecode van Internet Explorer.
14 beveiligingsoplossingen in één enkele update
Nu, Google releases Chrome-beveiligingsadvies, die u misschien wilt weten, bevat een zero-day-patch (CVE-2021-30551) voor de JavaScript-engine van Chrome, naast de andere 14 officieel vermelde beveiligingsoplossingen.
Voor wie de term nog niet kent, Nul-dag is een fantasierijke tijd, aangezien dit type cyberaanval in minder dan een dag plaatsvindt sinds het besef van de beveiligingsfout.
Daarom geeft het de ontwikkelaars bijna niet genoeg tijd om de potentiële risico's die aan deze kwetsbaarheid zijn verbonden uit te roeien of te beperken.
Net als Mozilla clustert Google ook andere mogelijke bugs die het heeft gevonden met behulp van generieke bug-hunting-methoden, vermeld als Verschillende oplossingen van interne audits, fuzzing en andere initiatieven.
Fuzzers kunnen zo niet miljoenen, honderden miljoenen testinvoer produceren gedurende de testperiode.
De enige informatie die ze moeten opslaan, is echter in de gevallen die ervoor zorgen dat het programma zich misdraagt of crasht.
Dit betekent dat ze later in het proces kunnen worden gebruikt als uitgangspunt voor de menselijke insectenjagers, wat ook veel tijd en mankracht zal besparen.
Bugs worden in het wild uitgebuit
Google begint met het noemen van de zero-day-bug en stelt dat ze zich bewust zijn dat er een exploit voor CVE-2021-30551 in het wild bestaat.
Deze specifieke bug wordt vermeld als: typ verwarring in V8, waarbij V8 staat voor het deel van Chrome dat JavaScript-code uitvoert.
Typeverwarring betekent dat je V8 één gegevensitem kunt geven, terwijl je JavaScript om de tuin kunt leiden om het te verwerken alsof het iets totaal anders is, mogelijk de beveiliging omzeilend of zelfs ongeautoriseerde code uitvoeren.
Zoals de meesten van jullie wellicht weten, resulteren JavaScript-beveiligingsinbreuken die kunnen worden veroorzaakt door JavaScript-code die in een webpagina is ingesloten, meer dan vaak in RCE-exploits of zelfs uitvoering van externe code.
Dit gezegd zijnde, maakt Google niet duidelijk of de CVE-2021-30551-bug kan worden gebruikt voor het uitvoeren van hardcore externe code, wat meestal betekent dat gebruikers kwetsbaar zijn voor cyberaanvallen.
Om een idee te krijgen van hoe ernstig dit is, stel je voor dat je op een website surft, zonder er echt op te klikken pop-ups, kunnen kwaadwillende derden in staat stellen om onzichtbaar code uit te voeren en malware op uw computer te implanteren.
Dus CVE-2021-30551 krijgt alleen een hoge beoordeling, met alleen een bug die niet in het wild voorkomt (CVE-2021-30544), geclassificeerd als kritiek.
Het kan zijn dat de bug CVE-2021-30544 de kritieke vermelding heeft gekregen omdat deze kan worden misbruikt voor RCE.
Er is echter geen suggestie dat iemand anders dan Google, evenals de onderzoekers die het meldden, op dit moment weten hoe ze dat moeten doen.
Het bedrijf vermeldt ook dat de toegang tot bugdetails en links beperkt kan worden gehouden totdat een meerderheid van de gebruikers is bijgewerkt met een fix
Wat is uw mening over de nieuwste zero day-patch van Google? Deel uw mening met ons in de opmerkingen hieronder.
