- Google выпускает Совет по безопасности Chrome, который включает исправление нулевого дня для движка JavaScript Chrome.
- CVE-2021-30551 получает высокий рейтинг, и только одна ошибка не распространена и используется злонамеренными третьими сторонами.
- Согласно Google, доступ к сведениям об ошибках и ссылкам может быть ограничен до тех пор, пока большинство пользователей не обновят исправление.
- В Ошибка CVE-2021-30551 указана Google как ошибка типа в V8, что означает, что безопасность JavaScript может быть обойдена для запуска неавторизованного кода.
Пользователи по-прежнему останавливаются на предыдущем Microsoft Объявление о патче во вторник, который, по их мнению, был довольно плохим, с исправлением шести реальных уязвимостей.
Не говоря уже о том, что похоронено глубоко в остатках кода веб-рендеринга MSHTML Internet Explorer.
14 исправлений безопасности в одном обновлении
Теперь Google выпускает Совет по безопасности Chrome, который вы, возможно, захотите узнать, включает в себя исправление нулевого дня (CVE-2021-30551) для движка JavaScript Chrome, среди других 14 официально перечисленных исправлений безопасности.
Для тех, кто еще не знаком с этим термином, Нулевой день время творческое, так как этот тип кибератаки происходит менее чем за день с момента обнаружения уязвимости в системе безопасности.
Следовательно, это не дает разработчикам достаточно времени для устранения или снижения потенциальных рисков, связанных с этой уязвимостью.
Подобно Mozilla, Google также объединяет другие потенциальные ошибки, которые он обнаружил, используя общие методы поиска ошибок, перечисленные как Различные исправления от внутреннего аудита, фаззинга и других инициатив.
Фаззеры могут произвести, если не миллионы, сотни миллионов тестовых входных данных за период испытаний.
Однако единственная информация, которую они должны хранить, - это информация о тех случаях, когда программа ведет себя неправильно или дает сбой.
Это означает, что их можно использовать позже в процессе, как отправную точку для охотников за ошибками, что также сэкономит много времени и рабочей силы.
Ошибки эксплуатируются в дикой природе
Google начинает с упоминания ошибки нулевого дня, заявляя, что они] осведомлены о существовании эксплойта для CVE-2021-30551..
Эта конкретная ошибка указана как путаница типов в V8, где V8 представляет часть Chrome, в которой выполняется код JavaScript.
Путаница типов означает, что вы можете предоставить V8 один элемент данных, обманывая при этом JavaScript для его обработки. как если бы это было что-то совершенно другое, потенциально обходящее защиту или даже запускающее неавторизованный код.
Как многие из вас, возможно, знают, нарушения безопасности JavaScript, которые могут быть вызваны кодом JavaScript, встроенным в веб-страницу, чаще всего приводят к эксплойтам RCE или даже удаленному выполнению кода.
При всем этом Google не уточняет, можно ли использовать ошибку CVE-2021-30551 для жесткого удаленного выполнения кода, что обычно означает, что пользователи уязвимы для кибератак.
Чтобы понять, насколько это серьезно, представьте, что вы просматриваете веб-сайт, не нажимая ни на что. всплывающие окна, могут позволить злоумышленникам незаметно запускать код и внедрять вредоносное ПО на ваш компьютер.
Таким образом, CVE-2021-30551 получает только высокий рейтинг, а просто ошибка, которой нет в природе (CVE-2021-30544), классифицируется как критическая.
Возможно, критическое упоминание об ошибке CVE-2021-30544 было приписано ей, потому что она могла быть использована для RCE.
Однако на данный момент нет никаких предположений, что кто-либо, кроме Google, а также исследователей, которые сообщили об этом, знает, как это сделать.
Компания также упоминает, что доступ к сведениям об ошибках и ссылкам может быть ограничен до тех пор, пока большинство пользователей не обновят исправление.
Что вы думаете о последнем патче нулевого дня от Google? Поделитесь с нами своими мыслями в разделе комментариев ниже.
