- Wydania Google Poradnik dotyczący bezpieczeństwa Chrome, który zawiera poprawkę zero-day do silnika JavaScript Chrome.
- CVE-2021-30551 otrzymuje wysoką ocenę, z tylko jednym błędem, który nie występuje na wolności, wykorzystywanym przez złośliwe strony trzecie.
- Według Google dostęp do szczegółów błędów i linków może być ograniczony, dopóki większość użytkowników nie zostanie zaktualizowana za pomocą poprawki.
- Błąd CVE-2021-30551 jest wymieniony przez Google jako błąd typu w V8, co oznacza, że zabezpieczenia JavaScript można ominąć w przypadku uruchomienia nieautoryzowanego kodu.
Użytkownicy wciąż zastanawiają się nad poprzednim Microsoftem Zapowiedź patcha we wtorek, co ich zdaniem było dość złe, z sześcioma załatanymi lukami w zabezpieczeniach.
Nie wspominając o tym, który jest ukryty głęboko w kodzie renderowania stron internetowych MSHTML Internet Explorera.
14 poprawek bezpieczeństwa w jednej aktualizacji
Teraz wydania Google Poradnik dotyczący bezpieczeństwa Chrome, który możesz chcieć wiedzieć, zawiera łatkę zero-day (CVE-2021-30551) do silnika JavaScript Chrome, a także 14 oficjalnie wymienionych poprawek bezpieczeństwa.
Dla tych, którzy jeszcze nie znają tego terminu, Dzień zerowy to czas pełen wyobraźni, ponieważ tego typu cyberataki zdarzają się w niecały dzień od wykrycia luki w zabezpieczeniach.
Dlatego nie daje programistom wystarczająco dużo czasu na wyeliminowanie lub złagodzenie potencjalnego ryzyka związanego z tą luką.
Podobnie jak Mozilla, Google gromadzi również inne potencjalne błędy, które wykrył za pomocą ogólnych metod wyszukiwania błędów, wymienionych jako Różne poprawki z audytów wewnętrznych, fuzzingu i innych inicjatyw.
Fuzzery mogą wytworzyć, jeśli nie miliony, setki milionów danych wejściowych testowych w czasie trwania testu.
Jednak jedyne informacje, które muszą przechowywać, dotyczą przypadków, które powodują nieprawidłowe działanie programu lub jego awarię.
Oznacza to, że mogą zostać użyte później w procesie, jako punkty wyjścia dla ludzkich łowców błędów, co również zaoszczędzi dużo czasu i siły roboczej.
Błędy są wykorzystywane na wolności
Google zaczyna od wzmianki o błędzie zero-day, stwierdzając, że są świadomi, że exploit dla CVE-2021-30551 istnieje na wolności.
Ten konkretny błąd jest wymieniony jako wpisz zamieszanie w V8, gdzie V8 reprezentuje część Chrome, która uruchamia kod JavaScript.
Pomieszanie typów oznacza, że możesz dostarczyć V8 jeden element danych, jednocześnie nakłaniając JavaScript do jego obsługi jakby to było coś zupełnie innego, potencjalnie omijającego zabezpieczenia lub nawet uruchamiającego nieautoryzowany kod.
Jak większość z was może wiedzieć, naruszenia bezpieczeństwa JavaScript, które mogą być wywołane przez kod JavaScript osadzony na stronie internetowej, niejednokrotnie skutkują exploitami RCE, a nawet zdalnym wykonaniem kodu.
Biorąc to wszystko pod uwagę, Google nie wyjaśnia, czy błąd CVE-2021-30551 może być wykorzystany do ostrego zdalnego wykonywania kodu, co zwykle oznacza, że użytkownicy są narażeni na cyberataki.
Aby zorientować się, jak poważne to jest, wyobraź sobie surfowanie po stronie internetowej bez klikania żadnego wyskakujące okienka, może pozwolić złośliwym stronom trzecim na niewidoczne uruchamianie kodu i zaszczepić złośliwe oprogramowanie na komputerze.
W ten sposób CVE-2021-30551 otrzymuje tylko wysoką ocenę, z jedynie błędem, który nie występuje na wolności (CVE-2021-30544), sklasyfikowanym jako krytyczny.
Możliwe, że błąd CVE-2021-30544 miał krytyczną wzmiankę, ponieważ mógł zostać wykorzystany do RCE.
Nie ma jednak sugestii, że ktokolwiek inny niż Google, a także badacze, którzy to zgłosili, wiedzą, jak to zrobić.
Firma wspomina również, że dostęp do szczegółów błędów i linków może być ograniczony, dopóki większość użytkowników nie zostanie zaktualizowana za pomocą poprawki
Jakie jest Twoje zdanie na temat najnowszej łatki zero-day od Google? Podziel się z nami swoimi przemyśleniami w sekcji komentarzy poniżej.
