Chrome har utstedt en hasteløsning – oppdater nå!

Google presset ut en haug med sikkerhetsreparasjoner for Chrome- og Chromium-nettleserkoden tidligere denne uken...

...bare for å motta en sårbarhetsrapport fra forskere ved cybersikkerhetsselskapet Avast samme dag.

Googles svar var å presse ut en annen oppdatering så snart det kunne: en feilretting som håndterer CVE-2022-3723, beskrevet med Googles vanlige vi-kan-verken-bekrefte-eller-nekte legalisme:

Google er klar over rapporter om at en utnyttelse for CVE-2022-3723 eksisterer i naturen.

(Apple bruker også jevnlig en lignende uengasjert smak av OMG-alle-det-er-en-0-dagers-varsling, og bruker ord om at det "er klar over en rapport om at [et] problem kan ha blitt aktivt utnyttet".)

Denne Chrome-oppdateringen betyr at du nå ser etter et versjonsnummer av 107.0.5304.87 eller senere.

Forvirrende nok er det versjonsnummeret man kan forvente på Mac eller Linux, mens Windows-brukere kan få 107.0.5304.87 or 107.0.5304.88, og nei, vi vet ikke hvorfor det er to forskjellige tall der.

For hva det er verdt, ble årsaken til dette sikkerhetshullet beskrevet som "typeforvirring i V8", som er sjargong for "det var en utnyttbar feil i JavaScript-motoren som kunne utløses av upålitelig kode og uklarerte data som tilsynelatende kom uskyldig inn utenfra".

Løst sett betyr det at det er nesten sikkert at bare å besøke og se på et booby-fanget nettsted – noe som ikke skal føre deg i fare alene – kan være nok til å lansere useriøs kode og implantere skadelig programvare på enheten din, uten noen popup-vinduer eller andre nedlastingsadvarsler.

Det er det som er kjent i cybercrime-slang som en drive-by-installasjon.

"Oppmerksom på rapporter"

Vi tipper, gitt at et cybersikkerhetsselskap rapporterte denne sårbarheten, og gitt den nesten umiddelbare publiseringen av en oppdatering med én feil, at feilen ble avdekket i løpet av en aktiv etterforskning av et inntrenging på en kundes datamaskin eller nettverk.

Etter et uventet eller uvanlig innbrudd, der åpenbare inngangsveier rett og slett ikke dukker opp i loggene, vender trusseljegere vanligvis til de grove detaljene i deteksjons- og responsloggene de har til rådighet, og prøver å sette sammen systemet. nivåspesifikke om hva som skjedde.

Gitt at nettleserutnyttelse av ekstern kjøring av kode (RCE) ofte involverer å kjøre upålitelig kode som kom fra en upålitelig kilde på en uventet måte, og lanserte en ny kjøringstråd som normalt ikke vil vises i loggene...

…tilgang til tilstrekkelig detaljerte rettsmedisinske «trusselrespons»-data kan ikke bare avsløre hvordan de kriminelle kom seg inn, men også nøyaktig hvor og hvordan i systemet de var i stand til å omgå sikkerhetsbeskyttelsen som normalt ville vært på plass.

Enkelt sagt, å jobbe bakover i et miljø der du kan spille av et angrep om og om igjen, og se hvordan det utspiller seg, vil ofte avsløre plasseringen, om ikke den eksakte funksjonen, til en utnyttbar sårbarhet.

Og, som du kan forestille deg, er det mye, mye enklere å trygt fjerne en nål fra høystakken hvis du har et kart over alle spisse metallgjenstander i høystakken til å begynne med.

Kort sagt, det vi mener er at når Google sier "den er klar over rapporter" om et angrep som ble lansert ved å utnytte Chrome i det virkelige liv, er vi klare til å anta at du kan oversette dette til "feilen er ekte, og den er virkelig kan utnyttes, men fordi vi faktisk ikke undersøkte det hackede systemet i det virkelige liv selv, er vi fortsatt på trygg grunn hvis vi ikke kommer rett ut og sier: 'Hei, alle sammen, det er en 0-dag'. ”

Den gode nyheten om feiloppdagelser av denne typen er at de sannsynligvis utviklet seg på denne måten fordi angriperne ønsket å holde både sårbarheten og triksene som trengs for å utnytte den hemmelig, vel vitende om at det å skryte av teknikken eller bruke den for mye ville fremskynde oppdagelsen og dermed forkorte verdien i målrettede angrep.

Dagens nettleser-RCE-utnyttelser kan være djevelsk komplekse å oppdage og dyre å anskaffe, tatt i betraktning hvor mye innsats organisasjoner som Mozilla, Microsoft, Apple og Google legger ned på å herde nettleserne sine mot uønskede triks for kjøring av kode.

Med andre ord, Googles raske oppdateringstid, og det faktum at de fleste brukere vil motta oppdateringen raskt og automatisk (eller i det minste halvautomatisk), gjør at resten av oss nå ikke bare kan ta igjen kjeltringene, men komme tilbake foran dem.

Hva gjør jeg?

Selv om Chrome sannsynligvis vil oppdatere seg selv, anbefaler vi alltid å sjekke uansett.

Som nevnt ovenfor, leter du etter 107.0.5304.87 (Mac og Linux), eller en av 107.0.5304.87 og 107.0.5304.88 (Windows).

Bruk Mer > Hjelp > Om Google Chrome > Oppdater Google Chrome.

Den åpne kildekode Chromium-smaken til nettleseren, i det minste på Linux, er også for øyeblikket i versjon 107.0.5304.87.

(Hvis du bruker Chromium på Linux eller en av BSD-ene, kan det hende du må sjekke tilbake med distroprodusenten din for å få den nyeste versjonen.)

Vi er ikke sikre på om Android-versjonen av Chrome er berørt, og i så fall hvilket versjonsnummer vi skal se etter.

Du kan se etter eventuelle kommende oppdateringskunngjøringer for Android på Googles Chrome slipper blogg.

Vi antar at Chrome-baserte nettlesere på iOS og iPadOS ikke påvirkes, fordi alle Apple App Store-nettlesere er tvunget til å bruke Apples WebKit-nettleserundersystem, som ikke bruker Googles V8 JavaScript-motor.

Interessant nok beskrev Microsofts utgivelsesnotater for Edge i skrivende stund [2022-10-29T14:00:00Z] en oppdatering datert 2022-10-27 (to dager etter at denne feilen ble rapportert av forskerne), men gjorde det ikke oppgi CVE-2022-3723 som en av sikkerhetsfiksene i den bygningen, som var nummerert 107.0.1418.24.

Vi antar derfor at å se etter en Edge-versjon som er større enn dette, vil indikere at Microsoft har publisert en oppdatering mot dette hullet.

Du kan holde øye med Edge-patcher via Microsofts Edge sikkerhetsoppdateringer side.

---