Voor de tweede keer deze maand heeft Google twee voorheen onbekende of 'zero-day' beveiligingsfouten in Chrome gepatcht die al door aanvallers worden uitgebuit.
Google heeft een Chrome-update voor stabiele kanalen uitgebracht voor Windows-, Mac- en Linux-machines om twee zero-day-fouten te verhelpen die de populairste browser op internet treffen.
De update duwt Chrome naar versie 94.0.4606.71. Vanwege de aanvallen is het verstandig voor organisaties en consumenten om te updaten zodra deze beschikbaar is. Google zegt dat het de komende dagen/weken zal worden uitgerold.
ZIE: Wil je niet gehackt worden? Vermijd dan deze drie 'uitzonderlijk gevaarlijke' cyberbeveiligingsfouten
De update bevat vier beveiligingsoplossingen voor Chrome, waaronder de twee zero-days. Een van hen, een zeer ernstige fout die wordt bijgehouden als CVE-2021-37975, komt voort uit de moeilijk te beschermen V8 JavaScript-engine van Google die werd gemeld door een anonieme onderzoeker.
Nog een middelzware fout, bijgehouden als CVE-2021-37976 is een “informatielek in de kern” en werd gemeld door Google's Threat Analysis Group (TAG) met hulp van Google Project Zero-beveiligingsonderzoekers.
“Google is zich ervan bewust dat de exploits voor CVE-2021-37975 en CVE-2021-37976 in het wild bestaan”, zei Google in de release-opmerkingen.
Deze laatste twee fouten betekenen dat Google sinds begin 2021 12 zero-days in Chrome heeft gepatcht. Google heeft op 13 september twee zero-day Chrome-fouten gepatcht, waarmee het zijn 10e zero-day-patch voor het jaar markeert.
TAG is de groep bij Google die gespecialiseerd is in het opsporen van door de staat gesponsorde aanvallers en heeft eerder snode activiteiten van Noord-Koreaanse hackers en aanvallen op iOS en reguliere browsers ontdekt.
Google Project Zero-onderzoeker Samuel Groß heeft onlangs een project gestart om V8-bugs op te lossen, die volgens hem bijzonder gevaarlijk zijn.
“V8-bugs maken doorgaans de constructie van ongewoon krachtige exploits mogelijk”, waarschuwde Groß. Deze bugs zijn ook bestand tegen moderne hardwareondersteunde oplossingen.
Details van de twee nieuwe Chrome-bugs zijn nog niet toegevoegd aan de “0-day in the wild”-tracker van Google Project Zero. Na toevoeging van deze Chrome-bugs, zou de lijst in totaal 48 zero-day-bugs bevatten die sinds begin 2021 in het wild zijn uitgebuit. Deze bugs hebben invloed gehad op software en hardware van Google, Apple, Adobe, Microsoft, Qualcomm, en ARM.
ZIE: De helft van de bedrijven herkent deze tekenen van interne cyberbeveiligingsbedreigingen niet
Google Project Zero en TAG zegt dat er dit jaar een toename is geweest in zero-day exploits, maar wat dat betekent in termen van aanval en verdediging is minder duidelijk.
“Er is geen één-op-één relatie tussen het aantal 0-dagen dat in-the-wild wordt gebruikt en het aantal 0-dagen dat wordt gedetecteerd en bekendgemaakt als in-the-wild. De aanvallers achter 0-day exploits over het algemeen willen dat hun 0-dagen verborgen en onbekend blijven, omdat ze zo het nuttigst zijn”, schreven de beveiligingsonderzoekers van Google.
De stijging van zero-days kan zijn omdat verdedigers ze steeds beter kunnen identificeren en detecteren. Maar het kan ook zijn omdat aanvallers ze vaker gebruiken omdat er meer platforms zijn om aan te vallen en er meer commerciële outfits zijn die overheden toegang tot zero-days verkopen, waardoor er minder technische vaardigheden nodig zijn om ze te gebruiken.
Beveiliging
Fortinet, Shopify melden problemen nadat root-CA-certificaat van Lets Encrypt verloopt Ransomware-bendes klagen dat andere criminelen hun losgeld stelen Bandbreedte CEO bevestigt uitval veroorzaakt door DDoS-aanval Deze systemen worden elke maand geconfronteerd met miljarden aanvallen als hackers wachtwoorden proberen te raden Een goedbetaalde baan in cybersecurity krijgen Cybersecurity 101: bescherm uw privacy tegen hackers, spionnen, de overheid
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 