- Google släpper Chrome säkerhetsrådgivning, som innehåller en noll-dagars patch till Chrome JavaScript-motor.
- CVE-2021-30551 får ett högt betyg, med bara ett fel som inte är i naturen, utnyttjat av skadliga tredje parter.
- Enligt Google kan åtkomst till buggdetaljer och länkar hållas begränsad tills en majoritet av användarna uppdateras med en fix.
- De CVE-2021-30551-felet listas av Google som typförvirring i V8, vilket innebär att JavaScript-säkerhet kan förbikopplas för att köra obehörig kod.
Användarna dröjer fortfarande vid det tidigare Microsoft Patch Tuesday meddelande, vilket var ganska dåligt enligt deras åsikt, med sex in-the-wild sårbarheter lappade.
För att inte tala om den som är begravd djupt inne i spåren efter Internet Explorer: s MSHTML-webbåtergivningskod.
14 säkerhetsfixar i en enda uppdatering
Nu släpper Google Chrome säkerhetsrådgivning, som du kanske vill veta, innehåller en noll-dagars patch (CVE-2021-30551) till Chrome JavaScript-motor, bland dess andra 14 officiellt listade säkerhetsfixar.
För dem som fortfarande inte känner till begreppet, Nolldag är en fantasifull tid, eftersom denna typ av cyberattack händer på mindre än en dag sedan medvetenheten om säkerhetsfelet.
Därför ger det inte utvecklarna tillräckligt med tid för att utrota eller mildra de potentiella riskerna som är förknippade med denna sårbarhet.
På samma sätt som Mozilla kluster Google också andra potentiella buggar som de har hittat med hjälp av generiska bug-jaktmetoder, listade som Olika korrigeringar från interna revisioner, fuzzing och andra initiativ.
Fuzzers kan producera om inte miljoner, hundratals miljoner testingångar under hela provningen.
Den enda informationen de behöver lagra är dock i de fall som gör att programmet inte fungerar bra eller kraschar.
Det betyder att de kan användas senare i processen, som utgångspunkter för mänskliga bugjägare, vilket också sparar mycket tid och arbetskraft.
Insekter utnyttjas i naturen
Google börjar med att nämna nolldagarsfelet och säger att de är medvetna om att det finns en exploatering för CVE-2021-30551 i naturen.
Detta specifika fel är listat som typ förvirring i V8, där V8 representerar den del av Chrome som kör JavaScript-kod.
Typförvirring innebär att du kan förse V8 med ett dataobjekt, samtidigt som du lurar JavaScript för att hantera det som om det vore något helt annat, potentiellt kringgå säkerhet eller till och med kör obehörig kod.
Som de flesta av er kanske vet JavaScript-säkerhetsöverträdelser som kan utlösas av JavaScript-kod inbäddad i en webbsida, mer än ofta i RCE-utnyttjande eller till och med fjärrkörning av kod.
Med allt detta sagt, klargör Google inte om CVE-2021-30551-felet kan användas för exekvering av hardcore fjärrkod, vilket vanligtvis innebär att användare är sårbara för cyberattacker.
Bara för att få en uppfattning om hur seriöst detta är, tänk dig att surfa på en webbplats utan att faktiskt klicka på någon popup-fönster, kan tillåta skadliga tredje parter att köra kod osynligt och implantera skadlig kod på din dator.
Således får CVE-2021-30551 bara högt betyg, med bara ett fel som inte finns i naturen (CVE-2021-30544), klassificerat som kritiskt.
Det kan vara så att CVE-2021-30544-felet fick det kritiska omnämnandet tillskrivet det eftersom det kunde utnyttjas för RCE.
Det finns dock inget förslag om att någon annan än Google, liksom de forskare som rapporterade att de vet hur man gör det för tillfället.
Företaget nämner också att åtkomst till buggdetaljer och länkar kan hållas begränsad tills en majoritet av användarna uppdateras med en fix
Vad gör du för den senaste nolldagspatchen från Google? Dela dina tankar med oss i kommentarfältet nedan.
