- Google випускає Поради щодо безпеки Chrome, який включає виправлення нульового дня до механізму JavaScript Chrome.
- CVE-2021-30551 отримує високий рейтинг, лише одна помилка не в дикій природі, яку експлуатують зловмисні треті сторони.
- За даними Google, доступ до інформації про помилки та посилань може бути обмежений, поки більшість користувачів не буде оновлена з виправленням.
- Помилка CVE-2021-30551 перелічена Google як плутанина типів у V8, що означає, що захист JavaScript можна обійти для запуску несанкціонованого коду.
Користувачі все ще зупиняються на попередній Microsoft Патч вівторок оголошення, що було досить погано, на їх думку, з виправленими шістьма дикими вразливими місцями.
Не кажучи вже про той, що закопаний глибоко в руїнах коду веб-рендеринга MSHTML Internet Explorer.
14 виправлень безпеки за одне оновлення
Тепер Google випускає Поради щодо безпеки Chrome, який, можливо, ви хотіли б знати, включає виправлення нульового дня (CVE-2021-30551) до механізму JavaScript Chrome, серед інших 14 офіційно перелічених виправлень безпеки.
Для тих, хто все ще не знайомий з цим терміном, Нульовий день - це творча пора, оскільки цей тип кібератаки відбувається менш ніж за добу з моменту усвідомлення вади безпеки.
Отже, це не дає розробникам майже достатньо часу для викорінення або пом’якшення потенційних ризиків, пов’язаних із цією вразливістю.
Подібно до Mozilla, Google також об’єднує інші потенційні помилки, які виявив, використовуючи загальні методи полювання на помилки, перераховані як Різні виправлення з внутрішніх перевірок, нечітких та інших ініціатив.
Фузери можуть виробляти, якщо не мільйони, сотні мільйонів тестових входів протягом пробного циклу.
Однак єдину інформацію, яку їм потрібно зберігати, це у випадках, коли програма спричиняє неправильну поведінку або аварійне завершення роботи.
Це означає, що їх можна використовувати пізніше в процесі, як відправні пункти для мисливців на людських клопів, що також заощадить багато часу та робочої сили.
Помилки експлуатуються в дикій природі
Google починає із згадування помилки нульового дня, заявляючи, що вони] усвідомлюють, що експлойт для CVE-2021-30551 існує в дикій природі.
Ця конкретна помилка вказана як плутанина типу у V8, де V8 являє собою частину Chrome, яка запускає код JavaScript.
Плутанина типів означає, що ви можете надати V8 один елемент даних, одночасно обманюючи JavaScript обробляти його ніби це щось зовсім інше, що потенційно обходить безпеку або навіть запускає несанкціонований код.
Як відомо більшості з вас, порушення безпеки JavaScript, які можуть бути спричинені кодом JavaScript, вбудованим у веб-сторінку, частіше призводять до експлойтів RCE або навіть віддаленого виконання коду.
З огляду на все це, Google не з’ясовує, чи можна використовувати помилку CVE-2021-30551 для жорсткого віддаленого виконання коду, що зазвичай означає, що користувачі вразливі до кібератак.
Просто щоб отримати уявлення про те, наскільки це серйозно, уявіть собі серфінг на веб-сайті, фактично не натискаючи жодного спливаючі вікна, можуть дозволити зловмисним третім сторонам невидимо запускати код та імплантувати шкідливе програмне забезпечення на ваш комп’ютер.
Таким чином, CVE-2021-30551 отримує лише високий рейтинг, лише помилка, яка не є в дикій природі (CVE-2021-30544), класифікується як критична.
Можливо, про помилку CVE-2021-30544 було віднесено критичне згадування, оскільки її можна використовувати для RCE.
Однак наразі немає припущень, що хтось, крім Google, а також дослідники, які повідомили про це, знають, як це зробити.
Компанія також зазначає, що доступ до відомостей про помилки та посилань може бути обмежений, поки більшість користувачів не буде оновлена з виправленням
Яка ваша думка щодо останнього виправлення нульового дня від Google? Поділіться своїми думками з нами у розділі коментарів нижче.
