- Google sürümleri Chrome güvenlik danışmanlığı, Chrome'un JavaScript motoruna sıfır gün yaması içeren.
- CVE-2021-30551, kötü niyetli üçüncü şahıslar tarafından istismar edilen vahşi olmayan tek bir hata ile yüksek bir puan alır.
- Google'a göre, hata ayrıntılarına ve bağlantılara erişim, kullanıcıların çoğu bir düzeltmeyle güncellenene kadar sınırlı tutulabilir.
- CVE-2021-30551 hatası, Google tarafından V8'de tür karışıklığı olarak listelenmiştir; bu, yetkisiz kod çalıştırmak için JavaScript güvenliğinin atlanabileceği anlamına gelir.
Kullanıcılar hala önceki Microsoft'ta yaşıyor Yama Salı duyurusu, onların görüşüne göre oldukça kötüydü, altı vahşi güvenlik açığı yamalı.
Internet Explorer'ın MSHTML web oluşturma kodunun kalıntılarına gömülü olandan bahsetmiyorum bile.
Tek bir güncellemede 14 güvenlik düzeltmesi
Şimdi, Google yayınlar Chrome güvenlik danışmanlığı, Chrome'un JavaScript motoruna sıfır gün yaması (CVE-2021-30551) ve resmi olarak listelenen diğer 14 güvenlik düzeltmesi içerir.
Henüz terime aşina olmayanlar için,
sıfır gün Bu tür bir siber saldırı, güvenlik açığının farkına varılmasından bu yana bir günden daha kısa bir süre içinde gerçekleştiğinden, yaratıcı bir zamandır.Bu nedenle, geliştiricilere bu güvenlik açığıyla ilişkili potansiyel riskleri ortadan kaldırmak veya azaltmak için neredeyse yeterli zamanı vermez.
Mozilla'ya benzer şekilde Google, genel hata arama yöntemlerini kullanarak bulduğu diğer olası hataları da bir araya toplar. İç denetimler, fuzzing ve diğer girişimlerden çeşitli düzeltmeler.
Fuzzers, kanıtlama çalıştırması boyunca milyonlarca olmasa da yüz milyonlarca test girdisi üretebilir.
Ancak, saklamaları gereken tek bilgi, programın hatalı çalışmasına veya çökmesine neden olan durumlardır.
Bu, insan böcek avcıları için başlangıç noktaları olarak daha sonra süreçte kullanılabilecekleri anlamına gelir ve bu da çok fazla zaman ve insan gücü tasarrufu sağlayacaktır.
Böcekler vahşi doğada istismar ediliyor
Google, CVE-2021-30551 için bir açıktan yararlanmanın doğada var olduğunun farkında olduklarını belirterek, sıfır gün hatasından bahsederek işe başlar..
Bu özel hata olarak listelenir V8'de karışıklık yazın, burada V8, Chrome'un JavaScript kodunu çalıştıran bölümünü temsil eder.
Tip karışıklığı, JavaScript'i onu işlemesi için kandırırken V8'e bir veri öğesi sağlayabileceğiniz anlamına gelir. sanki tamamen farklı bir şeymiş gibi, potansiyel olarak güvenliği atlıyor veya hatta yetkisiz kod çalıştırıyor.
Çoğunuzun bildiği gibi, bir web sayfasına gömülü JavaScript kodu tarafından tetiklenebilen JavaScript güvenlik ihlalleri, çoğu zaman RCE istismarlarına ve hatta uzaktan kod yürütülmesine neden olur.
Tüm bunlara rağmen Google, CVE-2021-30551 hatasının uzaktan kod yürütme için kullanılıp kullanılamayacağını netleştirmiyor, bu da genellikle kullanıcıların siber saldırılara karşı savunmasız olduğu anlamına geliyor.
Bunun ne kadar ciddi olduğu hakkında bir fikir edinmek için, herhangi bir siteye tıklamadan bir web sitesinde gezindiğinizi hayal edin. açılır pencereler, kötü niyetli üçüncü tarafların görünmez bir şekilde kod çalıştırmasına ve bilgisayarınıza kötü amaçlı yazılım yerleştirmesine izin verebilir.
Bu nedenle, CVE-2021-30551, kritik olarak sınıflandırılan yalnızca vahşi olmayan bir hata (CVE-2021-30544) ile yalnızca yüksek bir puan alır.
CVE-2021-30544 hatası, RCE için istismar edilebileceği için kendisine atfedilen kritik bir söze sahip olabilir.
Bununla birlikte, şu an için Google dışında hiç kimsenin ve bunu bildiren araştırmacıların bunu nasıl yapacağını bildiğine dair bir öneri yok.
Şirket ayrıca, kullanıcıların çoğu bir düzeltme ile güncellenene kadar hata ayrıntılarına ve bağlantılara erişimin kısıtlanabileceğini belirtiyor.
Google'ın en son sıfır gün yamasıyla ilgili görüşünüz nedir? Aşağıdaki yorumlar bölümünde düşüncelerinizi bizimle paylaşın.
