- Гоогле објављује Цхроме савети о безбедности, који укључује закрпу нултог дана Цхроме-овог ЈаваСцрипт механизма.
- ЦВЕ-2021-30551 добија високу оцену, са само једном грешком која није у дивљини коју искоришћавају злонамерне треће стране.
- Према Гоогле-у, приступ детаљима грешака и везама може бити ограничен док се већина корисника не ажурира исправком.
- Тхе Гоогле је грешку ЦВЕ-2021-30551 навео као забуну типа у В8, што значи да се ЈаваСцрипт безбедност може заобићи због покретања неовлашћеног кода.
Корисници се и даље задржавају на претходном Мицрософту Патцх уторак најава, што је по њиховом мишљењу било прилично лоше, са закрпљених шест дивљих рањивости.
А да се и не помиње онај закопан дубоко у трагове МСХТМЛ кода за веб приказивање Интернет Екплорера.
14 безбедносних исправки у једној исправци
Сада Гоогле објављује Цхроме савети о безбедности, за коју бисте можда желели да знате да укључује закрпу нултог дана (ЦВЕ-2021-30551) за Цхроме-ов ЈаваСцрипт механизам, међу осталих 14 званично наведених безбедносних исправки.
За оне који још увек нису упознати са тим појмом, Нулти дан је маштовито време, јер се ова врста сајбер напада дешава за мање од једног дана од свести о безбедносном пропусту.
Стога програмерима не даје готово довољно времена да искоријене или ублаже потенцијалне ризике повезане са овом рањивошћу.
Слично Мозилли, Гоогле такође групише и друге потенцијалне грешке које је пронашао користећи генеричке методе лова на грешке, наведене као Разни поправци из унутрашњих ревизија, фуззинга и других иницијатива.
Фузери могу произвести ако не и милионе, стотине милиона улазних података за испитивање током периода тестирања.
Међутим, једине информације које треба да чувају су случајеви због којих се програм понаша лоше или пада.
То значи да се касније могу користити у процесу, као полазишта за ловце на људске бубе, што ће такође уштедети много времена и радне снаге.
Бубе се експлоатишу у дивљини
Гоогле започиње спомињањем грешке нултог дана, наводећи да су] свесни да екплоит за ЦВЕ-2021-30551 постоји у дивљини.
Ова одређена грешка је наведена као конфузија типа у В8, где В8 представља део Цхроме-а који покреће ЈаваСцрипт код.
Збуњеност типа значи да В8 можете да пружите једну ставку података, истовремено подмећући ЈаваСцрипт да је рукује као да се ради о нечему потпуно другачијем, потенцијално заобилазећи сигурност или чак покрећући неовлашћени код.
Као што већина вас можда зна, кршења ЈаваСцрипт сигурности која могу бити покренута ЈаваСцрипт кодом уграђеним у веб страницу, више него често резултирају РЦЕ искориштавањем или чак извршењем даљинског кода.
Уз све ово речено, Гоогле не разјашњава да ли се грешка ЦВЕ-2021-30551 може користити за хардцоре даљинско извршавање кода, што обично значи да су корисници осетљиви на сајбер нападе.
Само да бисте добили идеју колико је ово озбиљно, замислите сурфовање веб страницом, а да заправо не кликнете на било коју искачућих прозора, може дозволити злонамерним трећим странама да неприметно покрећу код и уграђују злонамерни софтвер на ваш рачунар.
Дакле, ЦВЕ-2021-30551 добија само високу оцену, уз само грешку која није у дивљини (ЦВЕ-2021-30544), класификовану као критичну.
Може бити да је грешци ЦВЕ-2021-30544 приписан критички помен, јер би се могао искористити за РЦЕ.
Међутим, тренутно не постоји претпоставка да неко други осим Гоогле-а, као ни истраживачи који су пријавили да то зна, зна како се то ради.
Компанија такође напомиње да приступ детаљима грешака и везама може бити ограничен док се већина корисника не ажурира исправком
Каква је ваша оцена о најновијој закрпи од нула дана од Гоогле-а? Поделите своје мисли са нама у одељку за коментаре испод.
