- Google lanserer Chrome sikkerhetsrådgivning, som inkluderer en null-dagers oppdatering til Chromes JavaScript-motor.
- CVE-2021-30551 får en høy vurdering, med bare en feil som ikke er i naturen, utnyttet av ondsinnede tredjeparter.
- I følge Google kan tilgang til feildetaljer og lenker holdes begrenset til et flertall av brukerne er oppdatert med en løsning.
- De CVE-2021-30551 bug er oppført av Google som type forvirring i V8, noe som betyr at JavaScript-sikkerhet kan omgåes for å kjøre uautorisert kode.
Brukerne holder fortsatt på forrige Microsoft Patch tirsdag kunngjøring, som var ganske ille etter deres mening, med seks sårbarheter i naturen lappet.
For ikke å nevne den som er begravet dypt inne i resterne av Internet Explorer's MSHTML-nettgjengivelseskode.
14 sikkerhetsoppdateringer i en enkelt oppdatering
Nå lanserer Google Chrome sikkerhetsrådgivning, som du kanskje vil vite, inkluderer en null-dagers oppdatering (CVE-2021-30551) til Chrome JavaScript-motor, blant de andre 14 offisielt oppførte sikkerhetsrettelsene.
For de som fremdeles ikke er kjent med begrepet, Nulldag er en fantasifull tid, siden denne typen nettangrep skjer på mindre enn en dag siden bevisstheten om sikkerhetsfeilen.
Derfor gir det ikke utviklerne nesten nok tid til å utrydde eller redusere de potensielle risikoene knyttet til dette sikkerhetsproblemet.
I likhet med Mozilla, klynger Google også andre potensielle feil som de har funnet ved hjelp av generiske bugjaktmetoder, oppført som Ulike rettelser fra interne revisjoner, fuzzing og andre initiativer.
Fuzzers kan produsere om ikke millioner, hundrevis av millioner av testinnganger i løpet av hele løpet.
Imidlertid er den eneste informasjonen de trenger å lagre, i tilfellene som får programmet til å oppføre seg dårlig eller krasje.
Dette betyr at de kan brukes senere i prosessen, som utgangspunkt for menneskelige bugjegere, som også vil spare mye tid og arbeidskraft.
Bugs blir utnyttet i naturen
Google starter med å nevne null-dagersfeilen, og sier at de er klar over at det finnes en utnyttelse for CVE-2021-30551 i naturen.
Denne spesielle feilen er oppført som skriv forvirring i V8, der V8 representerer den delen av Chrome som kjører JavaScript-kode.
Type forvirring betyr at du kan gi V8 ett dataelement, mens du lurer JavaScript til å håndtere det som om det var noe helt annet, potensielt omgå sikkerhet eller til og med kjøre uautorisert kode.
Som de fleste av dere kanskje vet, fører JavaScript-sikkerhetsbrudd som kan utløses av JavaScript-kode innebygd på en webside, mer enn ofte i RCE-utnyttelse, eller til og med ekstern kjøring av kode.
Når alt dette er sagt, avklarer Google ikke om CVE-2021-30551-feilen kan brukes til kjøring av hardcore ekstern kode, noe som vanligvis betyr at brukerne er sårbare for nettangrep.
Bare for å få en ide om hvor alvorlig dette er, kan du forestille deg å surfe på et nettsted uten å klikke på noe popup-vinduer, kan tillate skadelige tredjeparter å kjøre kode usynlig, og implantere skadelig programvare på datamaskinen din.
Dermed får CVE-2021-30551 bare en høy vurdering, med bare en feil som ikke er i naturen (CVE-2021-30544), klassifisert som kritisk.
Det kan være at CVE-2021-30544-feilen fikk den kritiske omtalen tilskrevet den fordi den kunne utnyttes til RCE.
Imidlertid er det ingen antydninger om at andre enn Google, så vel som forskerne som rapporterte at de vet hvordan de skal gjøre for øyeblikket.
Selskapet nevner også at tilgang til bugdetaljer og lenker kan holdes begrenset til et flertall av brukerne er oppdatert med en løsning
Hva er ditt syn på den siste null dagers oppdateringen fra Google? Del dine tanker med oss i kommentarfeltet nedenfor.
