Google heeft eerder deze week een aantal beveiligingsoplossingen voor de Chrome- en Chromium-browsercode uitgebracht ...
…om dezelfde dag nog een kwetsbaarheidsrapport te ontvangen van onderzoekers van cyberbeveiligingsbedrijf Avast.
De reactie van Google was om eruit te duwen nog een update zo snel als het kon: een oplossing met één bug CVE-2022-3723, beschreven met Google's gebruikelijke we-kunnen-niet-bevestigen-noch-ontkennen-wettelijkheid zeggen:
Google is op de hoogte van berichten dat er een exploit voor CVE-2022-3723 in het wild bestaat.
(Apple gebruikt ook regelmatig een soortgelijke niet-betrokken smaak van OMG-iedereen-er-een-0-dag-melding, met woorden in de trant dat het "op de hoogte is van een melding dat [een] probleem mogelijk actief is misbruikt".)
Deze Chrome-update betekent dat je nu op zoek bent naar een versienummer van 107.0.5304.87 of later.
Verwarrend genoeg is dat het versienummer dat je kunt verwachten op Mac of Linux, terwijl Windows-gebruikers dat wel kunnen krijgen 107.0.5304.87 or 107.0.5304.88, en nee, we weten niet waarom er twee verschillende nummers zijn.
Voor wat het waard is, de oorzaak van dit beveiligingslek werd beschreven als: “type verwarring in V8”, wat jargon is voor "er was een exploiteerbare bug in de JavaScript-engine die kan worden geactiveerd door niet-vertrouwde code en niet-vertrouwde gegevens die schijnbaar onschuldig van buitenaf binnenkwamen".
Losjes gesproken betekent dit dat het vrijwel zeker is dat alleen het bezoeken en bekijken van een website met boobytraps – iets dat je op zichzelf niet in gevaar zou moeten brengen – voldoende zou kunnen zijn om malafide code te starten en malware op je apparaat te implanteren, zonder pop-ups of andere downloadwaarschuwingen.
Dat is wat in cybercrime-jargon bekend staat als a drive-by-installatie.
“Bewust van meldingen”
Gezien het feit dat een cyberbeveiligingsbedrijf deze kwetsbaarheid heeft gemeld en gezien de vrijwel onmiddellijke publicatie van een update met één fout, vermoeden we dat de fout werd ontdekt tijdens een actief onderzoek naar een inbraak op de computer of het netwerk van een klant.
Na een onverwachte of ongebruikelijke inbraak, waarbij voor de hand liggende toegangspaden gewoon niet in de logs verschijnen, wenden dreigingjagers zich meestal tot de zanderige details van de detectie- en reactielogs die ze tot hun beschikking hebben, in een poging het systeem samen te voegen. niveau details van wat er is gebeurd.
Gezien het feit dat bij exploits van externe code-uitvoering (RCE) in de browser vaak niet-vertrouwde code wordt uitgevoerd die op een onverwachte manier afkomstig is van een niet-vertrouwde bron, en een nieuwe uitvoeringsthread wordt gestart die normaal niet in de logboeken zou verschijnen...
...toegang tot voldoende gedetailleerde forensische 'threat response'-gegevens kan niet alleen onthullen hoe de criminelen binnenkwamen, maar ook precies waar en hoe ze in het systeem de beveiligingsbeschermingen konden omzeilen die normaal aanwezig zouden zijn.
Simpel gezegd, achteruit werken in een omgeving waarin je een aanval keer op keer kunt herhalen en kijken hoe deze zich ontvouwt, onthult vaak de locatie, zo niet de exacte werking, van een kwetsbaarheid die kan worden misbruikt.
En, zoals je je kunt voorstellen, is het veilig verwijderen van een naald uit een hooiberg veel, veel gemakkelijker als je om te beginnen een kaart hebt van alle puntige metalen voorwerpen in de hooiberg.
Kort gezegd, wat we bedoelen is dat wanneer Google zegt "het is op de hoogte van meldingen" van een aanval die is gelanceerd door Chrome in het echte leven te exploiteren, we klaar zijn om aan te nemen dat u dit kunt vertalen in "de bug is echt, en het is echt kan worden uitgebuit, maar omdat we het gehackte systeem niet zelf in het echte leven hebben onderzocht, zijn we nog steeds op veilige grond als we niet meteen naar buiten komen en zeggen: 'Hé, iedereen, het is een 0-dag'. ”
Het goede nieuws over dit soort bug-ontdekkingen is dat ze zich waarschijnlijk op deze manier hebben ontwikkeld omdat de aanvallers zowel de kwetsbaarheid als de trucs die nodig zijn om deze te misbruiken geheim wilden houden, wetende dat opscheppen over de techniek of het te wijd gebruiken ervan de ontdekking ervan zou versnellen en waardoor de waarde ervan bij gerichte aanvallen wordt verkort.
De huidige browser-RCE-exploits kunnen enorm complex zijn om te ontdekken en duur om te verwerven, als je bedenkt hoeveel moeite organisaties als Mozilla, Microsoft, Apple en Google hebben gedaan om hun browsers te beveiligen tegen ongewenste trucs voor het uitvoeren van code.
Met andere woorden, de snelle patchtijd van Google en het feit dat de meeste gebruikers de update snel en automatisch (of in ieder geval semi-automatisch) zullen ontvangen, betekent dat de rest van ons nu niet alleen de boeven kan inhalen, maar ook terug kan voor hen.
Wat te doen?
Hoewel Chrome zichzelf waarschijnlijk zal updaten, raden we altijd aan om het toch te controleren.
Zoals hierboven vermeld, bent u op zoek naar: 107.0.5304.87 (Mac en Linux), of een van 107.0.5304.87 en 107.0.5304.88 (Ramen).
Te gebruiken Meer > Help > Over Google Chrome > Update Google Chrome.
De open-source Chromium-smaak van de browser, althans op Linux, is momenteel ook in versie 107.0.5304.87.
(Als je Chromium op Linux of een van de BSD's gebruikt, moet je mogelijk contact opnemen met je distro-maker om de nieuwste versie te krijgen.)
We weten niet zeker of de Android-versie van Chrome wordt beïnvloed, en zo ja, op welk versienummer we moeten letten.
U kunt alle aanstaande update-aankondigingen voor Android bekijken op Google's Chrome-releases blog.
We gaan ervan uit dat Chrome-gebaseerde browsers op iOS en iPadOS niet worden beïnvloed, omdat alle Apple App Store-browsers gedwongen zijn om het WebKit-browsersubsysteem van Apple te gebruiken, dat geen gebruik maakt van de V8 JavaScript-engine van Google.
Interessant is dat op het moment van schrijven [2022-10-29T14:00:00Z] de release-opmerkingen van Microsoft voor Edge een update beschreven van 2022-10-27 (twee dagen nadat deze bug door de onderzoekers was gemeld), maar niet vermeld CVE-2022-3723 als een van de beveiligingsoplossingen in die build, die genummerd was 107.0.1418.24.
We gaan er daarom van uit dat het zoeken naar een grotere Edge-versie aangeeft dat Microsoft een update tegen dit gat heeft gepubliceerd.
U kunt Edge-patches in de gaten houden via Microsoft's Edge-beveiligingsupdates pagina.
- 0 dag
- blockchain
- Chrome
- chromium
- vindingrijk
- cryptocurrency wallets
- cryptoexchange
- CVE-2022-3723
- internetveiligheid
- cybercriminelen
- Cybersecurity
- Department of Homeland Security
- digitale portefeuilles
- rand
- Exploiteren
- firewall
- Kopen Google Reviews
- Google Chrome
- Kaspersky
- malware
- Mcafee
- Naakte beveiliging
- NexBLOC
- Plato
- plato ai
- Plato gegevensintelligentie
- Plato-spel
- PlatoData
- platogamen
- VPN
- kwetsbaarheid
- website veiligheid
- zephyrnet
- Zero Day
![S3 Ep124: wanneer zogenaamde beveiligings-apps schurkenstaten worden [Audio + tekst]](https://platoaistream.net/wp-content/uploads/2023/03/s3-ep124-when-so-called-security-apps-go-rogue-audio-text-360x188.png)
![S3 Ep123: Crypto-bedrijf compromis kerfuffle [Audio + tekst]](https://platoaistream.net/wp-content/uploads/2023/02/s3-ep123-crypto-company-compromise-kerfuffle-audio-text-360x188.png)