Chrome gặp sự cố khẩn cấp về bản sửa lỗi XNUMX ngày - hãy cập nhật ngay bây giờ!

Google đã đưa ra một loạt các bản sửa lỗi bảo mật cho mã trình duyệt Chrome và Chromium vào đầu tuần này…

… Chỉ để nhận được báo cáo về lỗ hổng bảo mật từ các nhà nghiên cứu tại công ty an ninh mạng Avast vào cùng ngày.

Phản ứng của Google là đẩy ra cập nhật khác càng sớm càng tốt: bản sửa một lỗi đối phó với CVE-2022-3723, được mô tả với chủ nghĩa pháp lý thông thường chúng tôi-không-thể-xác-nhận-cũng-không-từ-chối của Google nói rằng:

Google đã biết về các báo cáo rằng việc khai thác CVE-2022-3723 tồn tại trong tự nhiên.

(Apple cũng thường xuyên sử dụng một hương vị tương tự của thông báo OMG-mọi người-sẽ-có-0-ngày, sử dụng các từ để tạo hiệu ứng rằng nó “biết về một báo cáo rằng [một] vấn đề có thể đã được khai thác tích cực”.)

Bản cập nhật Chrome này có nghĩa là bạn hiện đang tìm kiếm số phiên bản của 107.0.5304.87 hoặc sau đó.

Thật khó hiểu, đó là số phiên bản mong đợi trên Mac hoặc Linux, trong khi người dùng Windows có thể nhận được 107.0.5304.87 or 107.0.5304.88, và, không, chúng tôi không biết tại sao lại có hai con số khác nhau ở đó.

Đối với những gì nó đáng giá, nguyên nhân của lỗ hổng bảo mật này được mô tả là "Nhập nhầm vào V8", là biệt ngữ cho “có một lỗi có thể khai thác được trong công cụ JavaScript có thể được kích hoạt bởi mã không đáng tin cậy và dữ liệu không đáng tin cậy đến từ bên ngoài một cách vô tội vạ”.

Nói một cách dễ hiểu, điều đó có nghĩa là gần như chắc chắn rằng chỉ cần truy cập và xem một trang web bị mắc kẹt - thứ không được cho là tự dẫn bạn vào con đường gây hại - có thể đủ để khởi chạy mã giả mạo và cấy phần mềm độc hại vào thiết bị của bạn mà không có bất kỳ cửa sổ bật lên nào hoặc các cảnh báo tải xuống khác.

Đó là những gì được biết đến trong tiếng lóng của tội phạm mạng như một từng lần cài đặt.

“Nhận thức về các báo cáo”

Chúng tôi đoán rằng, do một công ty an ninh mạng đã báo cáo lỗ hổng này và đưa ra bản cập nhật một lỗi gần như ngay lập tức, rằng lỗ hổng đã được phát hiện trong quá trình điều tra tích cực về sự xâm nhập vào máy tính hoặc mạng của khách hàng.

Sau khi đột nhập bất ngờ hoặc bất thường, trong đó các đường vào rõ ràng không hiển thị trong nhật ký, những kẻ săn lùng mối đe dọa thường chuyển sang các chi tiết phức tạp của nhật ký phát hiện và phản ứng theo ý của họ, cố gắng ghép hệ thống lại với nhau- mức cụ thể của những gì đã xảy ra.

Do việc khai thác thực thi mã từ xa (RCE) của trình duyệt thường liên quan đến việc chạy mã không đáng tin cậy đến từ một nguồn không đáng tin cậy theo cách không mong muốn và khởi chạy một chuỗi thực thi mới thường không hiển thị trong nhật ký…

… Quyền truy cập vào dữ liệu “phản ứng đe dọa” pháp y đủ chi tiết có thể không chỉ tiết lộ cách bọn tội phạm xâm nhập mà còn chính xác vị trí và cách thức trong hệ thống mà chúng có thể vượt qua các biện pháp bảo vệ an ninh thường được áp dụng.

Nói một cách đơn giản, làm việc ngược lại trong một môi trường mà bạn có thể phát đi phát lại một cuộc tấn công và xem nó diễn ra như thế nào, thường sẽ tiết lộ vị trí, nếu không phải là hoạt động chính xác, của một lỗ hổng có thể khai thác.

Và, như bạn có thể tưởng tượng, việc lấy kim khỏi đống cỏ khô một cách an toàn sẽ dễ dàng hơn rất nhiều nếu bạn có một bản đồ tất cả các vật thể kim loại nhọn trong đống cỏ khô để bắt đầu.

Nói tóm lại, ý của chúng tôi là khi Google nói rằng "nó đã biết các báo cáo" về một cuộc tấn công được phát động bằng cách khai thác Chrome trong cuộc sống thực, chúng tôi sẵn sàng cho rằng bạn có thể dịch điều này thành "lỗi là có thật, và nó thực sự có thể bị khai thác, nhưng bởi vì chúng tôi không thực sự tự mình điều tra hệ thống bị tấn công trong đời thực, chúng tôi vẫn ở trên vùng đất an toàn nếu chúng tôi không nói thẳng, 'Này, mọi người, đó là 0 ngày'. ”

Tin tốt về các lỗi phát hiện lỗi kiểu này là chúng có thể mở ra theo cách này bởi vì những kẻ tấn công muốn giữ bí mật cả lỗ hổng và các thủ thuật cần thiết để khai thác nó, biết rằng việc khoe khoang về kỹ thuật hoặc sử dụng nó quá rộng rãi sẽ đẩy nhanh việc phát hiện ra nó và do đó rút ngắn giá trị của nó trong các cuộc tấn công có chủ đích.

Việc khai thác trình duyệt RCE ngày nay có thể rất phức tạp để khám phá và tốn kém để có được, khi xem xét các tổ chức như Mozilla, Microsoft, Apple và Google đã nỗ lực như thế nào để tăng cường trình duyệt của họ chống lại các thủ thuật thực thi mã không mong muốn.

Nói cách khác, thời gian vá lỗi nhanh chóng của Google và thực tế là hầu hết người dùng sẽ nhận được bản cập nhật nhanh chóng và tự động (hoặc ít nhất là bán tự động), có nghĩa là phần còn lại của chúng ta không chỉ có thể bắt kịp với kẻ gian mà còn lấy lại được. đi trước họ.

Phải làm gì?

Mặc dù Chrome có thể sẽ tự cập nhật, nhưng chúng tôi luôn khuyên bạn nên kiểm tra.

Như đã đề cập ở trên, bạn đang tìm kiếm 107.0.5304.87 (Mac và Linux), hoặc một trong số 107.0.5304.87 và 107.0.5304.88 (Các cửa sổ).

Sử dụng Hơn > Trợ giúp > Giới thiệu về Google Chrome > Cập nhật Google Chrome.

Phiên bản Chromium mã nguồn mở của trình duyệt, ít nhất là trên Linux, hiện cũng đang ở phiên bản 107.0.5304.87.

(Nếu bạn sử dụng Chromium trên Linux hoặc một trong các BSD, bạn có thể cần phải kiểm tra lại với nhà sản xuất bản phân phối của mình để tải phiên bản mới nhất.)

Chúng tôi không chắc liệu phiên bản Chrome dành cho Android có bị ảnh hưởng hay không và nếu có thì số phiên bản nào cần chú ý.

Bạn có thể theo dõi mọi thông báo cập nhật sắp tới cho Android trên Google Bản phát hành Chrome blog.

Chúng tôi giả định rằng các trình duyệt dựa trên Chrome trên iOS và iPadOS không bị ảnh hưởng, bởi vì tất cả các trình duyệt của Apple App Store bắt buộc phải sử dụng hệ thống con duyệt WebKit của Apple, hệ thống này không sử dụng công cụ JavaScript V8 của Google.

Điều thú vị là tại thời điểm viết bài [2022-10-29T14: 00: 00Z], ghi chú phát hành của Microsoft cho Edge mô tả bản cập nhật ngày 2022-10-27 (hai ngày sau khi lỗi này được các nhà nghiên cứu báo cáo), nhưng không liệt kê CVE-2022-3723 là một trong những bản sửa lỗi bảo mật trong bản dựng đó, đã được đánh số 107.0.1418.24.

Do đó, chúng tôi giả định rằng việc tìm kiếm bất kỳ phiên bản Edge nào lớn hơn mức này sẽ cho thấy rằng Microsoft đã xuất bản bản cập nhật chống lại lỗ hổng này.

Bạn có thể theo dõi các bản vá lỗi của Edge thông qua Microsoft's Cập nhật bảo mật Edge .

---