Google hat Anfang dieser Woche eine Reihe von Sicherheitsfixes für den Chrome- und Chromium-Browsercode herausgebracht…
…nur um noch am selben Tag einen Schwachstellenbericht von Forschern des Cybersicherheitsunternehmens Avast zu erhalten.
Die Antwort von Google war zu verdrängen ein weiteres Update sobald es möglich war: ein One-Bug-Fix zu bewältigen CVE-2022-3723, beschrieben mit dem üblichen Wir-können-weder-bestätigen-noch-leugnen-Wort von Google:
Google sind Berichte bekannt, dass ein Exploit für CVE-2022-3723 in freier Wildbahn existiert.
(Apple verwendet auch regelmäßig eine ähnlich uninteressante Variante der OMG-jeder-es-ist-ein-0-Tag-Benachrichtigung, indem es Worte verwendet, die besagen, dass ihm „ein Bericht bekannt ist, dass [ein] Problem möglicherweise aktiv ausgenutzt wurde“.)
Dieses Chrome-Update bedeutet, dass Sie jetzt nach einer Versionsnummer von suchen 107.0.5304.87 oder höher.
Verwirrenderweise ist dies die Versionsnummer, die auf Mac oder Linux zu erwarten ist, während Windows-Benutzer sie möglicherweise erhalten 107.0.5304.87 or 107.0.5304.88, und nein, wir wissen nicht, warum es dort zwei verschiedene Nummern gibt.
Für das, was es wert ist, wurde die Ursache dieser Sicherheitslücke als beschrieben „Typenverwechslung im V8“, Fachjargon für „es gab einen ausnutzbaren Fehler in der JavaScript-Engine, der durch nicht vertrauenswürdigen Code und nicht vertrauenswürdige Daten ausgelöst werden konnte, die scheinbar unschuldig von außen hereinkamen“.
Grob gesagt bedeutet dies, dass es fast sicher ist, dass der bloße Besuch und die Anzeige einer mit Sprengfallen versehenen Website – etwas, das Sie nicht von sich aus in Gefahr bringen sollte – ausreichen könnte, um Schurkencode zu starten und Malware auf Ihrem Gerät zu implantieren, ohne Popups oder andere Download-Warnungen.
Das ist es, was im Cybercrime-Slang als a bekannt ist Drive-by-Installation.
„Berichte bekannt“
Angesichts der Tatsache, dass ein Cybersicherheitsunternehmen diese Schwachstelle gemeldet hat, und angesichts der fast sofortigen Veröffentlichung eines One-Bug-Updates vermuten wir, dass der Fehler im Laufe einer aktiven Untersuchung eines Einbruchs in den Computer oder das Netzwerk eines Kunden aufgedeckt wurde.
Nach einem unerwarteten oder ungewöhnlichen Einbruch, bei dem offensichtliche Eintrittspfade einfach nicht in den Protokollen auftauchen, wenden sich Bedrohungsjäger normalerweise den groben Details der Erkennungs- und Abwehrprotokolle zu, die ihnen zur Verfügung stehen, und versuchen, das System zusammenzusetzen. Ebene Besonderheiten dessen, was passiert ist.
Angesichts der Tatsache, dass Browser-Remote-Code-Execution (RCE)-Exploits häufig die Ausführung von nicht vertrauenswürdigem Code beinhalten, der auf unerwartete Weise aus einer nicht vertrauenswürdigen Quelle stammt, und einen neuen Ausführungs-Thread gestartet haben, der normalerweise nicht in den Protokollen auftaucht …
…der Zugriff auf ausreichend detaillierte forensische „Threat Response“-Daten kann nicht nur aufdecken, wie die Kriminellen in das System eingedrungen sind, sondern auch genau, wo und wie sie die normalerweise vorhandenen Sicherheitsvorkehrungen im System umgehen konnten.
Einfach ausgedrückt, wenn Sie in einer Umgebung, in der Sie einen Angriff immer wieder wiederholen und beobachten können, wie er sich entwickelt, rückwärts arbeiten, wird oft der Ort, wenn nicht die genaue Funktionsweise, einer ausnutzbaren Schwachstelle aufgedeckt.
Und wie Sie sich vorstellen können, ist das sichere Entfernen einer Nadel aus einem Heuhaufen viel, viel einfacher, wenn Sie zu Beginn eine Karte aller spitzen Metallgegenstände im Heuhaufen haben.
Kurz gesagt, was wir meinen, ist, dass wenn Google sagt „es sind Berichte bekannt“ über einen Angriff, der durch die Ausnutzung von Chrome im wirklichen Leben gestartet wurde, wir bereit sind anzunehmen, dass Sie dies mit „der Fehler ist real, und zwar wirklich“ übersetzen können ausgenutzt werden können, aber weil wir das gehackte System nicht selbst im wirklichen Leben untersucht haben, sind wir immer noch auf sicherem Boden, wenn wir nicht direkt sagen: "Hey, alle zusammen, es ist ein 0-Tag". ”
Die gute Nachricht bei der Entdeckung von Fehlern dieser Art ist, dass sie sich wahrscheinlich auf diese Weise entwickelt haben, weil die Angreifer sowohl die Schwachstelle als auch die Tricks, die zu ihrer Ausnutzung erforderlich sind, geheim halten wollten, da sie wussten, dass das Prahlen mit der Technik oder ihre zu breite Anwendung ihre Entdeckung beschleunigen würde verkürzen somit seinen Wert bei gezielten Angriffen.
Die heutigen Browser-RCE-Exploits können teuflisch komplex zu entdecken und teuer in der Anschaffung sein, wenn man bedenkt, wie viel Aufwand Unternehmen wie Mozilla, Microsoft, Apple und Google in die Absicherung ihrer Browser gegen unerwünschte Codeausführungstricks stecken.
Mit anderen Worten, die schnelle Patch-Zeit von Google und die Tatsache, dass die meisten Benutzer das Update schnell und automatisch (oder zumindest halbautomatisch) erhalten, bedeutet, dass der Rest von uns jetzt nicht nur die Gauner einholen, sondern zurückkommen kann vor ihnen.
Was ist zu tun?
Obwohl Chrome sich wahrscheinlich selbst aktualisieren wird, empfehlen wir trotzdem immer, dies zu überprüfen.
Wie oben erwähnt, suchen Sie 107.0.5304.87 (Mac und Linux) oder einer von 107.0.5304.87 und 107.0.5304.88 (Windows).
Verwenden Sie die Mehr > Hilfe > Über Google Chrome > Google Chrome aktualisieren.
Die Open-Source-Chromium-Variante des Browsers, zumindest unter Linux, ist ebenfalls derzeit in Version 107.0.5304.87.
(Wenn Sie Chromium unter Linux oder einem der BSDs verwenden, müssen Sie möglicherweise bei Ihrem Distributionshersteller nachfragen, um die neueste Version zu erhalten.)
Wir sind uns nicht sicher, ob die Android-Version von Chrome betroffen ist und wenn ja, auf welche Versionsnummer zu achten ist.
Sie können auf Googles nach bevorstehenden Update-Ankündigungen für Android Ausschau halten Chrome-Versionen </span><a href="https://rof-style.com/de/leather-boots-care/" target="_top" data-no-instant="">Weitere Tipps zur Pflege deiner ROFs findest du in unserem Blog.</a>
Wir gehen davon aus, dass Chrome-basierte Browser auf iOS und iPadOS nicht betroffen sind, da alle Apple App Store-Browser gezwungen sind, das WebKit-Browsing-Subsystem von Apple zu verwenden, das nicht die V8-JavaScript-Engine von Google verwendet.
Interessanterweise wurde zum Zeitpunkt des Schreibens [2022-10-29T14:00:00Z] in den Versionshinweisen von Microsoft für Edge ein Update vom 2022 beschrieben (zwei Tage nachdem dieser Fehler von den Forschern gemeldet wurde), tat es aber nicht führen Sie CVE-10-27 als eine der Sicherheitskorrekturen in diesem Build auf, die nummeriert waren 107.0.1418.24.
Wir gehen daher davon aus, dass die Suche nach einer höheren Edge-Version darauf hindeutet, dass Microsoft ein Update gegen diese Lücke veröffentlicht hat.
Sie können die Edge-Patches über die von Microsoft im Auge behalten Edge-Sicherheitsupdates
- 0 Tag
- Blockchain
- Chrome
- Chrom
- Einfallsreichtum
- Cryptocurrency Brieftaschen
- Kryptoaustausch
- CVE-2022-3723
- Internet-Sicherheit
- Cyber-Kriminelle
- Internet-Sicherheit
- Heimatschutzministerium
- digitale Brieftaschen
- Edge
- Ausnutzen
- Firewall
- Google Chrome
- Kaspersky
- Malware
- McAfee
- Nackte Sicherheit
- NexBLOC
- Plato
- platon ai
- Datenintelligenz von Plato
- Plato-Spiel
- PlatoData
- Platogaming
- VPN
- Verwundbarkeit
- Website-Sicherheit
- Zephyrnet
- Zero Day
![S3 Ep124: Wenn sogenannte Sicherheits-Apps abtrünnig werden [Audio + Text]](https://platoaistream.net/wp-content/uploads/2023/03/s3-ep124-when-so-called-security-apps-go-rogue-audio-text-360x188.png)
![S3 Ep123: Kryptounternehmen kompromittiert Kerfuffle [Audio + Text]](https://platoaistream.net/wp-content/uploads/2023/02/s3-ep123-crypto-company-compromise-kerfuffle-audio-text-360x188.png)