- Google izda Varnostno svetovanje za Chrome, ki vključuje nič-dnevni popravek na Chromovem mehanizmu JavaScript.
- CVE-2021-30551 dobi visoko oceno z eno samo napako, ki ni v naravi in jo izkoristijo zlonamerne tretje osebe.
- Po Googlu lahko dostop do podrobnosti o napakah in povezav ostane omejen, dokler večina uporabnikov ne bo posodobljena s popravkom.
- The Google navaja napako CVE-2021-30551 kot zmedo tipa v V8, kar pomeni, da je mogoče zaščititi JavaScript za zagon nepooblaščene kode.
Uporabniki še vedno razmišljajo o prejšnjem Microsoftu Objava v torek, kar je bilo po njihovem mnenju precej slabo, saj je bilo zakrpanih šest divjih ranljivosti.
Da ne omenjam tistega, zakopanega globoko v ruševinah kode spletnega upodabljanja MSHTML Internet Explorerja.
14 varnostnih popravkov v eni sami posodobitvi
Google zdaj izda Varnostno svetovanje za Chrome, za katero bi morda želeli vedeti, da med drugimi 14 uradno navedenimi varnostnimi popravki vključuje ničelni popravek (CVE-2021-30551) v Chromovem mehanizmu JavaScript.
Za tiste, ki tega izraza še vedno ne poznajo, Nič-dan je domišljijski čas, saj se ta vrsta kibernetskega napada zgodi v manj kot enem dnevu od zavedanja varnostne napake.
Zato razvijalcem ne daje skoraj dovolj časa za izkoreninjenje ali ublažitev potencialnih tveganj, povezanih s to ranljivostjo.
Podobno kot Mozilla tudi Google združuje druge potencialne napake, ki jih je ugotovil z generičnimi metodami lova na napake, navedene kot Različni popravki iz notranjih revizij, nejasnosti in drugih pobud.
Fuzzerji lahko ustvarijo, če ne milijone, stotine milijonov preskusnih vložkov v razponu preizkusnega teka.
Edine informacije, ki jih morajo shraniti, pa so primeri, ki povzročijo, da se program neprimerno obnaša ali sesuje.
To pomeni, da jih je mogoče v nadaljevanju uporabiti kot izhodišča za lovce na človeške hrošče, kar bo prihranilo tudi veliko časa in delovne sile.
Hrošče izkoriščajo v naravi
Google najprej omenja napako ničelnega dne in trdi, da se zaveda, da v naravi obstaja izkoriščanje CVE-2021-30551.
Ta posebna napaka je navedena kot zmeda tipa v V8, kjer V8 predstavlja del Chroma, ki izvaja kodo JavaScript.
Zmeda tipov pomeni, da lahko V8 dobite en podatkovni element, medtem ko JavaScript prevarate kot da gre za nekaj povsem drugega, kar bi lahko zaobšlo varnost ali celo izvajalo nepooblaščeno kodo.
Kot večina od vas morda ve, kršitve varnosti JavaScript, ki jih lahko sproži koda JavaScript, vdelana v spletno stran, pogosto povzročajo izkoriščanje RCE ali celo oddaljeno izvajanje kode.
Ob vsem tem Google ne pojasnjuje, ali je napako CVE-2021-30551 mogoče uporabiti za trdo izvajanje oddaljene kode, kar običajno pomeni, da so uporabniki ranljivi za kibernetske napade.
Samo da bi dobili idejo, kako resno je to, si predstavljajte brskanje po spletni strani, ne da bi dejansko kliknili katero koli pojavna okna, lahko zlonamernim tretjim osebam omogočijo, da nevidno zaženejo kodo in vsadijo zlonamerno programsko opremo v vaš računalnik.
Tako CVE-2021-30551 dobi le visoko oceno, pri čemer je zgolj hrošč, ki ni v naravi (CVE-2021-30544), opredeljen kot kritičen.
Mogoče je bilo napaki CVE-2021-30544 pripisana kritična omemba, ker jo je bilo mogoče izkoristiti za RCE.
Vendar trenutno ne moremo trditi, da bi kdo razen Googla, pa tudi raziskovalci, ki so poročali, vedeli, kako to storiti.
Družba tudi omenja, da je dostop do podrobnosti o napakah in povezav lahko omejen, dokler večina uporabnikov ne posodobi popravka
Kakšno je vaše mnenje o najnovejšem Googlovem popravku ničelnega dne? Delite svoje misli z nami v spodnjem oddelku za komentarje.
