Google wypuścił kilka poprawek bezpieczeństwa dla kodu przeglądarki Chrome i Chromium na początku tego tygodnia…
…tylko po to, aby tego samego dnia otrzymać raport o luce od badaczy z firmy Avast zajmującej się cyberbezpieczeństwem.
Odpowiedzią Google było wypchnięcie kolejna aktualizacja tak szybko, jak to możliwe: naprawa jednego błędu w radzeniu sobie z CVE-2022-3723, opisany zwyczajowym powiedzeniem Google’a „nie możemy potwierdzić ani zaprzeczyć legalizmowi”:
Google wie o doniesieniach, że exploit dla CVE-2022-3723 istnieje na wolności.
(Apple regularnie używa podobnie niezaangażowanego stylu powiadomienia OMG-każdy-jest-jeden dzień 0, używając słów, które oznaczają, że „jest świadomy raportu, że [problem] mógł zostać aktywnie wykorzystany”.)
Ta aktualizacja Chrome oznacza, że szukasz teraz numeru wersji 107.0.5304.87 lub później.
Mylące, jest to numer wersji, którego można się spodziewać na Macu lub Linuksie, podczas gdy użytkownicy Windowsa mogą go otrzymać 107.0.5304.87 or 107.0.5304.88i nie, nie wiemy, dlaczego są tam dwie różne liczby.
Co jest warte, przyczynę tej dziury w zabezpieczeniach opisano jako „wpisz zamieszanie w V8”, co w żargonie oznacza „wystąpił błąd, który można wykorzystać w silniku JavaScript, który mógł zostać wywołany przez niezaufany kod i niezaufane dane, które najwyraźniej pojawiły się niewinnie z zewnątrz”.
Krótko mówiąc, oznacza to, że jest prawie pewne, że samo odwiedzenie i wyświetlenie witryny z pułapkami – coś, co samo w sobie nie powinno narażać Cię na niebezpieczeństwo – może wystarczyć do uruchomienia fałszywego kodu i zainstalowania złośliwego oprogramowania na Twoim urządzeniu bez żadnych wyskakujących okienek lub inne ostrzeżenia dotyczące pobierania.
To jest znane w slangu cyberprzestępczym jako instalacja drive-by.
„Świadomy raportów”
Domyślamy się, biorąc pod uwagę, że firma zajmująca się cyberbezpieczeństwem zgłosiła tę lukę i biorąc pod uwagę niemal natychmiastową publikację aktualizacji z jednym błędem, luka została wykryta podczas aktywnego dochodzenia w sprawie włamania do komputera lub sieci klienta.
Po nieoczekiwanym lub nietypowym włamaniu, w którym oczywiste ścieżki wejścia po prostu nie pojawiają się w dziennikach, łowcy zagrożeń zazwyczaj zwracają się do szczegółowych informacji z dzienników wykrywania i reagowania, które mają do dyspozycji, próbując poskładać system. szczegółowe informacje o tym, co się stało.
Biorąc pod uwagę, że exploity zdalnego wykonania kodu przeglądarki (RCE) często wiążą się z uruchamianiem niezaufanego kodu, który pochodzi z niezaufanego źródła w nieoczekiwany sposób i uruchamiają nowy wątek wykonania, który normalnie nie pojawiałby się w dziennikach…
…dostęp do wystarczająco szczegółowych danych kryminalistycznych dotyczących „reakcji na zagrożenie” może nie tylko ujawnić, w jaki sposób przestępcy dostali się do środka, ale także dokładnie, gdzie iw jaki sposób w systemie byli w stanie ominąć zabezpieczenia, które normalnie byłyby stosowane.
Mówiąc prościej, praca wstecz w środowisku, w którym można powtarzać atak w kółko i obserwować, jak się rozwija, często ujawnia lokalizację, jeśli nie dokładną pracę, luki w zabezpieczeniach, którą można wykorzystać.
I, jak możesz sobie wyobrazić, bezpieczne usunięcie igły ze stogu siana jest o wiele łatwiejsze, jeśli na początek masz mapę wszystkich spiczastych metalowych przedmiotów w stogu siana.
Krótko mówiąc, mamy na myśli to, że kiedy Google mówi „jest świadomy raportów” o ataku przeprowadzonym przez wykorzystanie przeglądarki Chrome w prawdziwym życiu, jesteśmy gotowi założyć, że można to przetłumaczyć na „błąd jest prawdziwy i naprawdę może zostać wykorzystany, ale ponieważ nie zbadaliśmy sami zhakowanego systemu w prawdziwym życiu, nadal jesteśmy na bezpiecznym gruncie, jeśli nie wyjdziemy od razu i nie powiemy: „Hej, wszyscy, to jest dzień zerowy”. ”
Dobrą wiadomością o tego rodzaju wykrywaniu błędów jest to, że prawdopodobnie rozwinęły się one w ten sposób, ponieważ atakujący chcieli zachować w tajemnicy zarówno lukę, jak i sztuczki potrzebne do jej wykorzystania, wiedząc, że chwalenie się techniką lub zbyt szerokie jej stosowanie przyspieszyłoby jej odkrycie i tym samym skrócić jego wartość w atakach ukierunkowanych.
Dzisiejsze exploity RCE dla przeglądarek mogą być piekielnie skomplikowane do odkrycia i kosztowne do zdobycia, biorąc pod uwagę, jak wiele wysiłku organizacje takie jak Mozilla, Microsoft, Apple i Google wkładają w zabezpieczenie swoich przeglądarek przed niechcianymi sztuczkami służącymi do wykonywania kodu.
Innymi słowy, szybki czas aktualizacji Google oraz fakt, że większość użytkowników otrzyma aktualizację szybko i automatycznie (lub przynajmniej półautomatycznie), oznacza, że reszta z nas może teraz nie tylko dogonić oszustów, ale także wrócić przed nimi.
Co robić?
Mimo że Chrome prawdopodobnie sam się zaktualizuje, zawsze zalecamy sprawdzenie.
Jak wspomniano powyżej, szukasz 107.0.5304.87 (Mac i Linux) lub jeden z 107.0.5304.87 i 107.0.5304.88 (Windows).
Zastosowanie Więcej > Pomoc > Google Chrome > Zaktualizuj Google Chrome.
Przeglądarka o otwartym kodzie źródłowym Chromium, przynajmniej na Linuksie, jest obecnie w wersji 107.0.5304.87.
(Jeśli używasz Chromium w systemie Linux lub jednym z BSD, może być konieczne skontaktowanie się z producentem dystrybucji, aby uzyskać najnowszą wersję).
Nie jesteśmy pewni, czy dotyczy to wersji Chrome na Androida, a jeśli tak, na jaki numer wersji zwrócić uwagę.
Możesz oglądać wszelkie nadchodzące ogłoszenia o aktualizacjach dla Androida w Google Wersje Chrome blog.
Zakładamy, że nie dotyczy to przeglądarek opartych na Chrome na iOS i iPadOS, ponieważ wszystkie przeglądarki Apple App Store są zmuszone do korzystania z podsystemu przeglądania WebKit firmy Apple, który nie korzysta z silnika JavaScript V8 firmy Google.
Co ciekawe, w momencie pisania tego tekstu [2022-10-29T14:00:00Z], informacje o wydaniu Microsoftu dla Edge'a opisywały aktualizację z 2022-10-27 (dwa dni po zgłoszeniu tego błędu przez badaczy), ale nie wymień CVE-2022-3723 jako jedną z poprawek bezpieczeństwa w tej kompilacji, która została ponumerowana 107.0.1418.24.
Zakładamy zatem, że szukanie jakiejkolwiek wersji Edge wyższej niż ta, będzie oznaczać, że Microsoft opublikował aktualizację przeciwko tej dziurze.
Możesz mieć oko na łatki Edge za pośrednictwem Microsoft Aktualizacje zabezpieczeń brzegowych strona.
- Dzień 0
- blockchain
- Chrom
- chrom
- pomysłowość
- portfele kryptowalutowe
- krypto-wymiana
- CVE-2022-3723
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- krawędź
- Wykorzystać
- zapora
- Google Chrome
- Kaspersky
- malware
- Mcafee
- Nagie bezpieczeństwo
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- wrażliwość
- zabezpieczenia stron internetowych
- zefirnet
- Zero Day
![S3, odc. 119: Naruszenia, łaty, przecieki i poprawki! [Dźwięk + tekst]](https://platoaistream.net/wp-content/uploads/2023/01/s3-ep119-breaches-patches-leaks-and-tweaks-audio-text-360x188.jpg)
