Google випустив термінове оновлення для усунення нещодавно виявленої вразливості в Chrome, яка активно використовувалася в дикій природі, ставши восьмою вразливістю нульового дня, виявленою для браузера у 2023 році.
Ідентифікований як CVE-2023-7024, Google заявив, що вразливість є значним недоліком переповнення буфера купи в модулі WebRTC Chrome, який дозволяє віддалене виконання коду (RCE).
WebRTC — це ініціатива з відкритим вихідним кодом, яка забезпечує спілкування в реальному часі через API, і користується широкою підтримкою серед провідних виробників браузерів.
Як CVE-2023-7024 загрожує користувачам Chrome
Ліонел Літті, головний архітектор безпеки в Menlo Security, пояснює, що ризик від експлуатації полягає в здатності досягти RCE у процесі візуалізації. Це означає, що зловмисник може запускати довільний двійковий код на комп’ютері користувача за межами пісочниці JavaScript.
Однак реальна шкода залежить від використання помилки як першого кроку в ланцюжку експлойтів; її потрібно поєднати з уразливістю пісочниці або в самому Chrome, або в ОС, щоб бути справді небезпечною.
«Однак цей код усе ще знаходиться в ізольованому програмному середовищі через багатопроцесну архітектуру Chrome, — говорить Літті, — тому лише з цією вразливістю зловмисник не може отримати доступ до файлів користувача чи розпочати розгортання зловмисного програмного забезпечення, і його опора на машині зникає, коли заражена вкладка ЗАЧИНЕНО."
Він зазначає, що функція ізоляції веб-сайтів Chrome зазвичай захищає дані з інших сайтів, тому зловмисник не може націлитися на банківську інформацію жертви, хоча він додає, що тут є деякі тонкі застереження.
Наприклад, це призведе до виявлення цільового джерела зловмисного походження, якщо вони використовують той самий сайт: іншими словами, гіпотетичний malicious.shared.com може бути націлений на žrtve.shared.com.
«Хоча для доступу до мікрофона чи камери потрібна згода користувача, доступ до самого WebRTC — ні», — пояснює Літті. «Цілком можливо, що ця вразливість може стати мішенню для будь-якого веб-сайту, не вимагаючи жодного введення користувача, окрім відвідування шкідливої сторінки, тому з цієї точки зору загроза є значною».
Обрі Перін, провідний аналітик із аналізу загроз у відділі дослідження загроз Qualys, зазначає, що ця помилка виходить за межі Google Chrome.
«Експлуатація Chrome пов’язана з його повсюдністю — навіть Microsoft Edge використовує Chromium», — говорить він. «Отже, використання Chrome також потенційно може націлитися на користувачів Edge і дозволить зловмисникам ширше охопити».
І слід зазначити, що мобільні пристрої Android, які використовують Chrome, мають власний профіль ризику; у деяких сценаріях вони розміщують кілька сайтів в одному процесі візуалізації, особливо на пристроях, які не мають багато оперативної пам’яті.
Браузери залишаються головною мішенню для кібератак
Основні постачальники веб-переглядачів нещодавно повідомили про зростання кількості помилок нульового дня — про це повідомив лише Google п'ять із серпня.
Apple, Microsoft і Firefox є серед інших, які розкрили a ряд критичних вразливостей у своїх браузерах, включно з деякими нульовими днями.
Джозеф Карсон, головний спеціаліст із безпеки та консультант CISO у Delinea, каже, що не дивно, що спонсоровані державою хакери та кіберзлочинці націлюються на популярне програмне забезпечення, постійно шукаючи вразливості для використання.
«Це, як правило, призводить до більшої площі атаки через широке використання програмного забезпечення, численні платформи, цілі з високою вартістю та зазвичай відкриває двері для атак на ланцюги поставок», — говорить він.
Він зазначає, що ці типи вразливостей також потребують часу для багатьох користувачів, щоб оновити та виправити вразливі системи.
«Тому зловмисники, швидше за все, будуть націлюватися на ці вразливі системи протягом багатьох місяців», — говорить Карсон.
Він додає: «Оскільки ця вразливість активно використовується, це, ймовірно, означає, що багато систем користувачів уже зламано, і було б важливо мати можливість ідентифікувати пристрої, які стали цілями, і швидко виправити ці системи».
У результаті, зазначає Карсон, організації повинні дослідити чутливі системи з цією вразливістю, щоб визначити будь-які ризики або потенційний матеріальний вплив.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/cloud-security/google-eighth-zero-day-patch-2023-chrome
- : має
- :є
- : ні
- 2023
- a
- здатність
- Здатний
- доступ
- Achieve
- активний
- активно
- актори
- адреса
- Додає
- консультативний
- дозволяти
- дозволяє
- тільки
- вже
- Також
- хоча
- серед
- an
- аналітик
- та
- чоловіча
- будь-який
- Інтерфейси
- архітектура
- ЕСТЬ
- AS
- At
- атака
- нападки
- геть
- поганий
- Banking
- BE
- було
- буття
- За
- браузер
- браузери
- буфера
- переповнення буфера
- Помилка
- помилки
- by
- кімната
- CAN
- не може
- ланцюг
- головний
- Chrome
- хром
- CISO
- закрито
- код
- COM
- комбінований
- Приходити
- Комунікація
- Компрометація
- згода
- постійно
- може
- критичний
- Кібератака
- кіберзлочинці
- пошкодження
- Небезпечний
- дані
- розгортання
- Визначати
- прилади
- відкритий
- do
- робить
- Двері
- два
- край
- Восьмий
- або
- дозволяє
- бігти
- особливо
- Ефір (ETH)
- Навіть
- приклад
- виконання
- Пояснює
- Експлуатувати
- експлуатація
- експлуатований
- експлуатація
- продовжується
- особливість
- Файли
- Firefox
- Перший
- недолік
- опора
- для
- від
- в цілому
- йде
- Google Chrome
- Уряд
- за підтримки уряду
- Зростання
- хакери
- Мати
- he
- тут
- HTML
- HTTPS
- ідентифікований
- ідентифікувати
- if
- Impact
- вплив
- важливо
- in
- В інших
- У тому числі
- інформація
- Ініціатива
- вхід
- Інтелект
- дослідити
- ізоляція
- Випущений
- IT
- ЙОГО
- сам
- JavaScript
- JPG
- просто
- більше
- вести
- провідний
- Веде за собою
- Ймовірно
- серія
- машина
- Makers
- malicious
- шкідливих програм
- багато
- маркування
- матеріал
- засоби
- мікрофон
- Microsoft
- Microsoft Край
- Mobile
- мобільні пристрої
- Модулі
- місяців
- множинний
- потреби
- немає
- зазначив,
- примітки
- номер
- of
- on
- відкрити
- з відкритим вихідним кодом
- Відкриється
- or
- організації
- Походження
- OS
- Інше
- інші
- з
- поза
- власний
- сторінка
- пластир
- перспектива
- Платформи
- plato
- Інформація про дані Платона
- PlatoData
- точок
- популярний
- це можливо
- потенціал
- потенційно
- процес
- профіль
- захист
- put
- швидко
- Оперативна пам'ять
- досягати
- реальний
- реального часу
- нещодавно
- Релізи
- залишатися
- віддалений
- Повідомляється
- Вимагається
- дослідження
- результат
- Risk
- ризики
- прогін
- s
- Зазначений
- то ж
- sandbox
- говорить
- сценарії
- вчений
- Грати короля карти - безкоштовно Nijumi логічна гра гри
- безпеку
- чутливий
- загальні
- Повинен
- значний
- з
- сайт
- сайти
- So
- Софтвер
- деякі
- Source
- Рекламні
- старт
- Крок
- Як і раніше
- поставка
- ланцюжка поставок
- підтримка
- поверхню
- сюрприз
- Systems
- T
- Приймати
- Мета
- цільове
- цілі
- Що
- Команда
- їх
- Там.
- отже
- Ці
- вони
- це
- ті
- хоча?
- загроза
- інтелектуальна загроза
- загрожує
- через
- Зв'язаний
- час
- до
- топ
- по-справжньому
- Типи
- типово
- при
- блок
- Оновити
- терміново
- Використання
- використання
- користувач
- користувачі
- використовує
- використання
- зазвичай
- постачальники
- Жертва
- Уразливості
- вразливість
- Вразливий
- веб-сайт
- коли
- в той час як
- ширше
- широко поширений
- Wild
- волі
- з
- в
- без
- слова
- б
- зефірнет
