Patch-ul Chrome de la zero zile conține 14 remedieri importante de securitate

Utilizatorii încă se gândesc la Microsoft anterior Anunț Patch Tuesday, ceea ce a fost destul de rău în opinia lor, cu șase vulnerabilități in-the-wild patch-uri.

Ca să nu mai vorbim de cel îngropat adânc în vestigiile codului de redare web MSHTML al Internet Explorer.

14 remedieri de securitate într-o singură actualizare

Acum, Google lansează Recomandări de securitate Chrome, despre care ați putea dori să știți, include un patch zero-day (CVE-2021-30551) la motorul JavaScript Chrome, printre celelalte 14 remedieri de securitate listate oficial.

Pentru cei care încă nu sunt familiarizați cu termenul, Zero-zi este un moment imaginativ, deoarece acest tip de atac cibernetic se întâmplă în mai puțin de o zi de la conștientizarea defectului de securitate.

Prin urmare, nu oferă dezvoltatorilor suficient timp pentru a eradica sau a atenua riscurile potențiale asociate cu această vulnerabilitate.

Similar cu Mozilla, Google grupează, de asemenea, alte erori potențiale pe care le-a găsit folosind metode generice de vânătoare de erori, listate ca Diverse remedieri din audituri interne, fuzzing și alte inițiative.

Fuzzerele pot produce, dacă nu chiar milioane, sute de milioane de intrări de test pe durata testului.

Cu toate acestea, singurele informații pe care trebuie să le stocheze sunt în cazurile care cauzează comportamentul greșit al programului sau blocarea acestuia.

Acest lucru înseamnă că pot fi folosite mai târziu în proces, ca puncte de plecare pentru vânătorii de insecte umane, care, de asemenea, vor economisi mult timp și forță de muncă.

Bugurile sunt exploatate în sălbăticie

Google începe prin a menționa eroarea de zero zile, afirmând că sunt] conștienți că există un exploit pentru CVE-2021-30551 în sălbăticie.

Această eroare specială este listată ca tip confuzie în V8, unde V8 reprezintă partea din Chrome care rulează cod JavaScript.

Confuzia de tip înseamnă că puteți oferi V8 un singur element de date, în timp ce înșelați JavaScript să îl manipuleze de parcă ar fi ceva total diferit, ocolind potențial securitatea sau chiar executând cod neautorizat.

După cum s-ar putea să știți majoritatea dintre voi, încălcările de securitate JavaScript care pot fi declanșate de codul JavaScript încorporat într-o pagină web, duc mai des decât la exploatări RCE sau chiar la executarea codului la distanță.

Toate acestea fiind spuse, Google nu clarifică dacă eroarea CVE-2021-30551 poate fi utilizată pentru executarea codului de la distanță, ceea ce înseamnă de obicei că utilizatorii sunt vulnerabili la atacurile cibernetice.

Doar pentru a vă face o idee despre cât de grav este acest lucru, imaginați-vă că navigați pe un site web, fără să faceți clic pe niciunul ferestrele pop-up, ar putea permite unor terțe părți rău intenționate să ruleze cod invizibil și să implanteze malware pe computerul dvs.

Astfel, CVE-2021-30551 obține doar un rating ridicat, cu doar o eroare care nu se află în sălbăticie (CVE-2021-30544), clasificată ca fiind critică.

S-ar putea ca bug-ul CVE-2021-30544 să aibă mențiunea critică atribuită, deoarece ar putea fi exploatată pentru RCE.

Cu toate acestea, nu există nicio sugestie că altcineva decât Google, precum și cercetătorii care au raportat-o, știu cum să facă acest lucru, pentru moment.

Compania menționează, de asemenea, că accesul la detalii despre erori și linkuri poate fi restricționat până când majoritatea utilizatorilor sunt actualizați cu o remediere

Care este părerea dvs. despre cel mai recent patch zero zile de la Google? Împărtășiți-vă gândurile cu noi în secțiunea de comentarii de mai jos.