Videnskab
 science >> Videnskab >  >> Elektronik

Google havde Zero-Day grunde til at råbe om opdateringer

Kredit:CC0 Public Domain

Opdatering. Nu. Dette minut. Gå ikke før du gør det. Det var den påtrængende besked fra Google torsdag. En Zero-Day-udnyttelse var på spil mod Chrome-browseren, og der var ingen slingreplads for brugerne til at ignorere den, indtil de var i bedre humør.

Senest torsdag, Fossbytes , ZDNet og andre tech-se-sider var hele historien. Chrome er en meget populær browser, og Google har ret succes med sin branding som en relativt sikker keeper af Chrome. Så enhver historie om det modsatte fik øjeblikkelige nyheder.

Du var sikker, hvis din opdatering kontrollerede, om du havde den seneste, dukkede op som version 72.0.3626.121.

Hvem havde opdaget CVE-2019-5786 sikkerhedsfejlen? Clement Lecigne fra Googles Threat Analysis Group blev navngivet.

Lecigne skrev på Google Security Blog. "For at afhjælpe Chrome-sårbarheden (CVE-2019-5786), Google udgav en opdatering til alle Chrome-platforme den 1. marts; denne opdatering blev skubbet gennem Chrome automatisk opdatering. Vi opfordrer brugere til at bekræfte, at Chromes automatiske opdatering allerede har opdateret Chrome til 72.0.3626.121 eller nyere."

Så, de talte om den slags udnyttelse "i naturen, " ukendt, uden et plaster, i stand til at udløse komplikationer.

Som Kaspersky Lab forklarer betydningen af ​​nul-dag, "Normalt er programskaberne hurtige til at lave en rettelse, der forbedrer programbeskyttelsen, imidlertid, nogle gange hører hackere om fejlen først og er hurtige til at udnytte den. Når dette sker, der er ringe beskyttelse mod et angreb, fordi softwarefejlen er så ny."

Eller, som Nøgen Sikkerhed sætter det, dette er "en sårbarhed, som Bad Guys fandt ud af at udnytte, før Good Guys selv var i stand til at finde og lappe den – hvor "selv de bedst informerede sysadmins havde nul dage, hvor de kunne have patchet proaktivt."

Dette var ikke noget sjovt eksperiment; Google var opmærksom på sårbarheden, der blev udnyttet i naturen. Andrew Whalley tweetede, Brug et øjeblik på at kontrollere, at du kører den nyeste Chrome.

Justin Schuh, Google Chrome sikkerhedsled, slog også trompet for Chrome-brugere for at tjekke efter opdateringen. Hans tweet den 5. marts var en offentlig meddelelse om, at vi ikke spiller:"...seriøst, opdater dine Chrome-installationer...som lige i dette øjeblik." hvad er hastværket? Fordi Chrome Zero-Day var under aktive angreb. Catalin Cimpanu i ZDNet sagde, at den rettede fejl var under aktive angreb på tidspunktet for patchen.

Adash Verma ind Fossbytes sagde, "Mens detaljerne er knappe, vi ved, at fejlen handler om hukommelseshåndtering i Chromes fillæser, som er en API, der lader webapps læse indholdet af filer, der er gemt på brugerens computere."

Schuh tweetede:"Denne nyeste udnyttelse er anderledes, i den indledende kæde målrettede Chrome-kode direkte, og krævede således, at brugeren havde genstartet browseren, efter at opdateringen blev downloadet."

På hvilket niveau var CVE-2019-5786-truslen? det er blevet mærket som "Høj". ZDNet sagde Google beskrev sikkerhedsfejlen som en hukommelseshåndteringsfejl i Google Chromes FileReader - en web-API, der lader webapps læse indholdet af filer, der er gemt på brugerens computer.

Her er hvad Abner Li forklarede i 9to5Google . "Dette angreb involverer FileReader API, der tillader websteder at læse lokale filer, mens "Use-after-free"-klassen af ​​sårbarheder – i værste fald – tillader eksekvering af ondsindet kode."

Hvad betyder det, bruger-efter-fri sårbarhed? En type hukommelsesfejl opstår, når en app forsøger at få adgang til hukommelsen, efter at den er blevet frigivet/slettet fra Chromes tildelte hukommelse, sagde Cimpanu. Han tilføjede, at strømmen invloved en hukommelsesstyringsfejl i Google Chromes FileReader. Cimpanu sagde, at web-API'et var inkluderet i større browsere, hvorved web-apps læser indholdet af filer, der er gemt på brugerens computer.

Han sagde, at en forkert håndtering af denne type hukommelsesadgang kan føre til udførelse af ondsindet kode.

Lang og kort, Google kom ud med en løsning på nuldagens fejl. Lang og kort, en rettelse er allerede udstedt

Google udtalte, at "Adgang til fejldetaljer og -links kan holdes begrænset, indtil et flertal af brugere er opdateret med en rettelse. Vi beholder også begrænsninger, hvis fejlen findes i et tredjepartsbibliotek, som andre projekter på samme måde afhænger af, men har endnu ikke rettet."

I det større browsersikkerhedsbillede, Teknologer vil sandsynligvis stadig betragte Chrome som en af ​​de sikreste på markedet. DataHand gjorde en pointe, at "Søgemaskinegiganten har investeret mange ressourcer i at sikre browseren de seneste år, og der har ikke været mange sikkerhedsbrud."

Ikke desto mindre, sikkerhedsmiljøet skal overleve på en kardinalregel:Sig aldrig aldrig til muligheden for nye angreb. Hvilken browser er helt idiotsikker? Værd at se, selvom, er, hvor dygtige browserejere kan være til at håndtere trusler og udstede løsninger.

Ryan Whitwam, ExtremeTech :"Browsere indeholder så meget af vores digitale liv nu, at enhver sårbarhed er potentielt katastrofal. Heldigvis, det er meget sjældent, at ondsindede onlinepersoner opdager en alvorlig sårbarhed før Google eller uden for sikkerheden forskere ...Det var Googles egen trusselsanalysegruppe, der opdagede fejlen i Chrome den 27. februar."

© 2019 Science X Network




Varme artikler