- Vydania spoločnosti Google Upozornenie na zabezpečenie prehliadača Chrome, ktorá obsahuje opravu nulového dňa pre modul JavaScript prehliadača Chrome.
- CVE-2021-30551 získava vysoké hodnotenie. Má iba jednu chybu, ktorá sa nenachádza vo voľnej prírode a ktorá bola zneužitá škodlivými tretími stranami.
- Podľa spoločnosti Google môže byť prístup k podrobnostiam o chybách a odkazom obmedzený, kým nebude väčšina používateľov aktualizovaná opravou.
- The Chyba CVE-2021-30551 je spoločnosťou Google uvedená ako zmätok typu vo V8, čo znamená, že je možné obísť zabezpečenie JavaScriptu kvôli spusteniu neoprávneného kódu.
Používatelia sa stále pozastavujú nad predchádzajúcim Microsoftom Ohlásenie v utorok, čo bolo podľa ich názoru dosť zlé, so šiestimi opravenými chybami v prírode.
Nehovoriac o tom, ktorý je zakopaný hlboko v stopách kódu na vykreslenie webu MSHTML v prehliadači Internet Explorer.
14 opráv zabezpečenia v jednej aktualizácii
Teraz vydáva spoločnosť Google Upozornenie na zabezpečenie prehliadača Chrome
, o ktorom by ste sa možno chceli dozvedieť, je medzi ostatnými 14 oficiálne uvedenými bezpečnostnými opravami aj opravná sada (CVE-2021-30551) k modulu JavaScript prehliadača Chrome.Pre tých, ktorí ešte tento pojem nepoznajú, Nulový deň je nápaditý čas, pretože tento typ kybernetického útoku sa odohrá za menej ako jeden deň od uvedomenia si bezpečnostnej chyby.
Vývojárom preto neposkytuje dostatok času na odstránenie alebo zmiernenie potenciálnych rizík spojených s touto chybou zabezpečenia.
Podobne ako v prípade Mozilly, Google združuje aj ďalšie potenciálne chyby, ktoré našiel, pomocou všeobecných metód hľadania chýb, ktoré sú uvedené ako Rôzne opravy z interných auditov, fuzzing a iných iniciatív.
Fuzzery môžu produkovať, ak nie milióny, stovky miliónov testovacích vstupov v rozpätí testovacej fázy.
Jediné informácie, ktoré potrebujú na ukladanie, sú však prípady, ktoré spôsobia nesprávne správanie alebo zlyhanie programu.
To znamená, že môžu byť použité neskôr v tomto procese ako východiskové body pre lovcov ľudských chýb, čo tiež ušetrí veľa času a pracovných síl.
Vo voľnej prírode sa využívajú chyby
Google začína zmienkou o chybe nulového dňa a uvádza, že si je vedomý toho, že v prírode existuje zneužitie pre CVE-2021-30551..
Táto konkrétna chyba je uvedená ako zmätok typu vo V8, kde V8 predstavuje časť prehliadača Chrome, ktorá spúšťa kód JavaScript.
Zmätok typu znamená, že môžete modelu V8 poskytnúť jednu dátovú položku a privediete JavaScript k manipulácii s ním akoby to bolo niečo úplne iné, potenciálne obchádzajúce bezpečnosť alebo dokonca spúšťajúce neautorizovaný kód.
Ako väčšina z vás vie, narušenie bezpečnosti JavaScriptu, ktoré môže vyvolať kód JavaScript vložený na webovej stránke, má za následok častejšie využitie RCE alebo dokonca vzdialené spustenie kódu.
Po tomto všetkom Google nevyjasňuje, či možno chybu CVE-2021-30551 použiť na tvrdé vzdialené vykonávanie kódu, čo zvyčajne znamená, že používatelia sú zraniteľní voči kybernetickým útokom.
Len pre predstavu, aké to je vážne, predstavte si surfovanie po webových stránkach bez toho, aby ste na ne klikali automaticky otvárané okná, mohli by umožniť škodlivým tretím stranám spustiť kód neviditeľne a implantovať malvér do vášho počítača.
CVE-2021-30551 teda získava iba vysoké hodnotenie, iba kritická je chyba, ktorá nie je vo voľnej prírode (CVE-2021-30544).
Je možné, že chybe CVE-2021-30544 bola pripísaná kritická zmienka, pretože mohla byť zneužitá pre RCE.
Nič však nenasvedčuje tomu, že by v tejto chvíli vedel ktokoľvek iný ako Google, ako aj vedci, ktorí ho uviedli.
Spoločnosť tiež spomína, že prístup k podrobnostiam o chybách a odkazom môže byť obmedzený, kým nebude väčšina používateľov aktualizovaná opravou
Aký je váš názor na najnovšiu záplatu od 0 dní od spoločnosti Google? Podeľte sa s nami o svoje názory v sekcii komentárov nižšie.
