Google ha rilasciato una serie di correzioni di sicurezza per il codice del browser Chrome e Chromium all'inizio di questa settimana...
…solo per ricevere un rapporto sulla vulnerabilità dai ricercatori della società di sicurezza informatica Avast lo stesso giorno.
La risposta di Google è stata di spingere fuori un altro aggiornamento non appena possibile: una correzione di un bug che si occupa di CVE-2022-3723, descritto con il consueto legalismo di Google non possiamo né confermare né negare dicendo:
Google è a conoscenza di segnalazioni secondo cui esiste un exploit per CVE-2022-3723 in natura.
(Apple usa regolarmente anche un sapore simile disimpegnato di notifica OMG-everybody-thes-an-0-day, usando parole secondo cui "è a conoscenza di un rapporto che [un] problema potrebbe essere stato attivamente sfruttato".)
Questo aggiornamento di Chrome significa che stai cercando un numero di versione di 107.0.5304.87 o dopo.
In modo confuso, questo è il numero di versione che ci si aspetta su Mac o Linux, mentre gli utenti Windows potrebbero ottenerlo 107.0.5304.87 or 107.0.5304.88, e, no, non sappiamo perché ci sono due numeri diversi lì.
Per quel che vale, la causa di questo buco di sicurezza è stata descritta come "digitare confusione in V8", che in gergo significa "c'era un bug sfruttabile nel motore JavaScript che poteva essere attivato da codice non attendibile e dati non attendibili che arrivavano apparentemente innocentemente dall'esterno".
In parole povere, ciò significa che è quasi certo che la semplice visita e visualizzazione di un sito Web esplosivo - qualcosa che non dovrebbe portarti in pericolo da solo - potrebbe essere sufficiente per avviare codice canaglia e impiantare malware sul tuo dispositivo, senza alcun popup o altri avvisi di download.
Questo è ciò che è noto nel gergo del crimine informatico come a installazione drive-by.
“Consapevole delle segnalazioni”
Immaginiamo, dato che una società di sicurezza informatica ha segnalato questa vulnerabilità e data la pubblicazione quasi immediata di un aggiornamento di un bug, che il difetto sia stato scoperto nel corso di un'indagine attiva su un'intrusione nel computer o nella rete di un cliente.
Dopo un'irruzione inaspettata o insolita, in cui i percorsi di accesso ovvi semplicemente non vengono visualizzati nei registri, i cacciatori di minacce in genere si rivolgono ai dettagli grintosi dei registri di rilevamento e risposta a loro disposizione, tentando di mettere insieme il sistema- specifiche di livello di ciò che è accaduto.
Dato che gli exploit di esecuzione di codice remoto (RCE) del browser spesso implicano l'esecuzione di codice non attendibile proveniente da una fonte non attendibile in modo imprevisto e l'avvio di un nuovo thread di esecuzione che normalmente non verrebbe visualizzato nei registri...
…l'accesso a dati forensi di "risposta alle minacce" sufficientemente dettagliati potrebbe non solo rivelare come sono entrati i criminali, ma anche esattamente dove e come nel sistema sono stati in grado di aggirare le protezioni di sicurezza normalmente in atto.
In poche parole, lavorare a ritroso in un ambiente in cui è possibile ripetere un attacco più e più volte e osservare come si svolge, spesso rivelerà la posizione, se non l'esatto funzionamento, di una vulnerabilità sfruttabile.
E, come puoi immaginare, rimuovere in sicurezza un ago da un pagliaio è molto, molto più semplice se hai una mappa di tutti gli oggetti metallici appuntiti nel pagliaio per cominciare.
In breve, ciò che intendiamo è che quando Google dice "è a conoscenza di segnalazioni" di un attacco lanciato sfruttando Chrome nella vita reale, siamo pronti a presumere che tu possa tradurre questo in "il bug è reale, ed è davvero può essere sfruttato, ma poiché non abbiamo effettivamente indagato sul sistema hackerato nella vita reale, siamo ancora su un terreno sicuro se non usciamo subito e diciamo: "Ehi, tutti, è un giorno 0". "
La buona notizia sulle scoperte di bug di questo tipo è che probabilmente si sono svolte in questo modo perché gli aggressori volevano mantenere segrete sia la vulnerabilità che i trucchi necessari per sfruttarla, sapendo che vantarsi della tecnica o usarla troppo ampiamente ne avrebbe accelerato la scoperta e quindi ridurre il suo valore negli attacchi mirati.
Gli exploit RCE del browser odierno possono essere diabolicamente complessi da scoprire e costosi da acquisire, considerando lo sforzo di organizzazioni come Mozilla, Microsoft, Apple e Google per rafforzare i propri browser contro trucchi di esecuzione di codice indesiderati.
In altre parole, il rapido tempo di patch di Google e il fatto che la maggior parte degli utenti riceverà l'aggiornamento in modo rapido e automatico (o almeno semiautomatico), significa che il resto di noi ora non solo può recuperare il ritardo con i truffatori, ma anche tornare indietro davanti a loro.
Cosa fare?
Anche se probabilmente Chrome si aggiornerà da solo, ti consigliamo sempre di controllare comunque.
Come accennato in precedenza, stai cercando 107.0.5304.87 (Mac e Linux) o uno dei 107.0.5304.87 ed 107.0.5304.88 (Finestre).
Usa il Più > Aiuto > Informazioni su Google Chrome > Aggiorna Google Chrome.
Anche il sapore Chromium open source del browser, almeno su Linux, è attualmente in versione 107.0.5304.87.
(Se usi Chromium su Linux o uno dei BSD, potresti dover ricontrollare con il tuo creatore di distro per ottenere l'ultima versione.)
Non siamo sicuri se la versione Android di Chrome sia interessata e, in tal caso, a quale numero di versione prestare attenzione.
Puoi guardare eventuali annunci di aggiornamenti imminenti per Android su Google Chrome Releases blog.
Partiamo dal presupposto che i browser basati su Chrome su iOS e iPadOS non siano interessati, perché tutti i browser dell'App Store di Apple sono obbligati a utilizzare il sottosistema di navigazione WebKit di Apple, che non utilizza il motore JavaScript V8 di Google.
È interessante notare che, al momento della stesura di [2022-10-29T14:00:00Z], le note di rilascio di Microsoft per Edge descrivevano un aggiornamento datato 2022-10-27 (due giorni dopo che questo bug era stato segnalato dai ricercatori), ma non elenca CVE-2022-3723 come una delle correzioni di sicurezza in quella build, che era numerata 107.0.1418.24.
Assumiamo quindi che la ricerca di qualsiasi versione di Edge superiore a questa indicherà che Microsoft ha pubblicato un aggiornamento contro questo buco.
Puoi tenere d'occhio le patch Edge tramite Microsoft Aggiornamenti di sicurezza Edge .
- 0 giorno
- blockchain
- Chrome
- cromo
- geniale
- portafogli di criptovaluta
- cryptoexchange
- CVE-2022-3723
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- bordo
- Sfruttare
- firewall
- Google Chrome
- Kaspersky
- il malware
- Mcafee
- Sicurezza nuda
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- vulnerabilità
- sicurezza del sito Web
- zefiro
- Zero Day
