A Google most javította a Chrome nyolcadik verzióját nulladik napi lyuk az év eddig.
A nulla napok olyan hibák, amelyeknél nulla nap volt, amelyet proaktívan frissíthettél volna…
…mert a kiberbűnözők nemcsak először találták meg a hibát, hanem azt is kitalálták, hogyan tudják aljas célokra kihasználni, mielőtt a javítás elkészült és megjelent.
Tehát ennek a cikknek a gyors változata a következő: lépjen a Chrome-hoz Hárompontos menü (⋮), válasszon Segítség > A Chrome-ról, és ellenőrizze, hogy van-e verziója 107.0.5304.121 vagy későbbi.
A nulladik napok feltárása
Két évtizeddel ezelőtt a nulladik napok gyakran nagyon gyorsan széles körben ismertté váltak, jellemzően két ok egyike (vagy mindkettő) miatt:
- Egy önterjedő vírust vagy férget adtak ki a hiba kihasználására. Ez nemcsak a biztonsági résre és az azzal való visszaélésre hívta fel a figyelmet, hanem azt is, hogy a rosszindulatú kód önálló, működő másolatait messzire szétszórják, hogy a kutatók elemezzék őket.
- Egy hibavadász, akit nem a pénzszerzés motivált, mintakódot adott ki és kérkedett vele. Paradox módon talán ez egyidejűleg ártott a biztonságnak azzal, hogy „ingyen ajándékot” adtak át a kiberbűnözőknek, hogy azonnal felhasználhassák a támadásokat, és segítette a biztonságot azzal, hogy kutatókat és szállítókat vonzott a probléma gyors kijavítására vagy a megoldás kidolgozására.
Manapság a nulladik napi játék meglehetősen más, mert a kortárs védelmek általában megnehezítik a szoftveres sérülékenységek kihasználását.
Napjaink védelmi rétegei a következők: magukba az operációs rendszerekbe beépített kiegészítő védelmek; biztonságosabb szoftverfejlesztő eszközök; biztonságosabb programozási nyelvek és kódolási stílusok; és erősebb kiberfenyegetés-megelőzési eszközök.
Például a 2000-es évek elején – a szupergyorsan terjedő vírusok korszakában, mint pl. Vörös kód és az SQL Slammer – szinte minden verempuffer-túlcsordulás, és sok, ha nem a legtöbb kupac puffertúlcsordulás, az elméleti sebezhetőségekből gyors sorrendben megvalósítható kihasználásokká alakítható.
Más szavakkal, a kihasználások megtalálása és a 0 napok „eldobása” néha majdnem olyan egyszerű volt, mint a mögöttes hiba megtalálása.
És sok felhasználó fut a Administrator Mind a munkahelyen, mind otthon, a támadóknak ritkán kellett módot találniuk a kihasználások egymáshoz láncolására, hogy teljesen átvegyék az uralmat a fertőzött számítógépen.
De a 2020-as években működőképes távoli kódvégrehajtás kihasználja – olyan hibákat (vagy hibaláncokat), amelyeket a támadó megbízhatóan felhasználhat rosszindulatú programok számítógépére való beültetésére pusztán azáltal, hogy ráveszik Önt, hogy megtekintsen egy oldalt egy csapdába esett webhelyen – általában sokkal nehezebb megtalálni, és sokat ér. ennek eredményeként több pénz kerül a cyberundergroundba.
Egyszerűen fogalmazva, azok, akik manapság zero-day exploitokhoz jutnak, általában nem kérkednek velük többé.
Hajlamosak arra sem, hogy olyan támadásokban használják őket, amelyek nyilvánvalóvá tennék a behatolás „hogyan és miértjét”, vagy amelyek ahhoz vezetnének, hogy a kihasználó kód működő mintái könnyen elérhetővé válnak elemzés és kutatás céljából.
Ennek eredményeként manapság a nulladik napokat gyakran csak azután veszik észre, hogy egy fenyegetés-reagáló csapatot hívnak egy olyan támadás kivizsgálására, amely már sikerült, de ahol a szokásos behatolási módszerek (pl. adathalász jelszavak, hiányzó javítások vagy elfelejtett szerverek) nem volt az oka.
Puffer túlcsordulás látható
Ebben az esetben immár hivatalosan kijelölve CVE-2022 4135-, a bogár jelentették a Google saját Fenyegetéselemző Csoportja, de nem találták meg proaktívan, mivel a Google elismeri, hogy „tudatában annak, hogy egy kizsákmányolás […] létezik a vadonban.”
A sebezhetőséget a Magas súlyossága, és egyszerűen a következőképpen írják le: Heap puffer túlcsordulás a GPU-ban.
A puffertúlcsordulás általában azt jelenti, hogy a program egyik részéből származó kód a hivatalosan hozzárendelt memóriablokkokon kívül ír, és olyan adatokat tapos el, amelyekre később a program valamely másik része támaszkodik (és ezért implicit megbízik benne).
Elképzelhető, hogy sok minden elromolhat, ha egy puffertúlcsordulást kiváltó módon lehet kiváltani, így elkerülhető a program azonnali összeomlása.
A túlcsordulás felhasználható például egy olyan fájlnév megmérgezésére, amelyet a program valamely más része használni készül, és arra készteti, hogy ott írjon adatokat, ahol nem kellene; vagy a hálózati kapcsolat céljának megváltoztatása; vagy akár megváltoztatni azt a helyet a memóriában, ahonnan a program legközelebb kódot hajt végre.
A Google nem mondja meg kifejezetten, hogy ezt a hibát hogyan lehet (vagy használták) ki, de bölcs dolog feltételezni, hogy lehetséges valamilyen távoli kódvégrehajtás, amely nagyrészt a „rosszindulatú programok rejtett beültetésének szinonimája”, tekintettel arra, hogy a hiba a memória helytelen kezelésével jár.
Mit kell tenni?
A Chrome és a Chromium frissítésre kerül 107.0.5304.121 Mac és Linux rendszeren, valamint 107.0.5304.121 or 107.0.5304.122 Windows rendszeren (nem, nem tudjuk, miért van két különböző verzió), ezért feltétlenül ellenőrizze, hogy a verziószámok megegyeznek-e azokkal, vagy újabbak.
A Chrome-verzió ellenőrzéséhez és a frissítés kikényszerítéséhez, ha lemarad, nyissa meg a Hárompontos menü (⋮) és válassza ki Segítség > A Chrome-ról.
A Microsoft Edge, amint azt valószínűleg tudja, a Chromium kódon (a Chrome nyílt forráskódú magján) alapul, de nem kapott hivatalos frissítést azelőtt, hogy a Google fenyegetéskutatói naplózták ezt a hibát (és nem kapott frissítést). amely kifejezetten felsorolja a 2022-11-10 óta végrehajtott biztonsági javításokat).
Tehát nem tudjuk megmondani, hogy az Edge érintett-e, vagy hogy számíthat-e frissítésre a hiba miatt, de javasoljuk, hogy tartsa szemmel a Microsoft hivatalos kiadványok csak abban az esetben.
- Coinsmart. Európa legjobb Bitcoin- és kriptográfiai tőzsdéje.Kattints ide
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
- Forrás: https://nakedsecurity.sophos.com/2022/11/28/chrome-fixes-8th-zero-day-of-2022-check-your-version-now/
