For andre gang denne måneden har Google reparert to tidligere ukjente eller null-dagers sikkerhetsfeil i Chrome som allerede blir utnyttet av angripere.
Google har gitt ut en stabil kanaloppdatering for Windows, Mac og Linux for å løse to null-dagers feil som påvirker den mest populære nettleseren på nettet.
Oppdateringen skyver Chrome opp til versjon 94.0.4606.71. På grunn av angrepene er det klokt for organisasjoner og forbrukere å oppdatere så snart det blir tilgjengelig. Google sier at det vil lanseres i løpet av de “kommende dagene/ukene”.
SE: Vil du ikke bli hacket? Unngå deretter disse tre “eksepsjonelt farlige” feilene på nettsikkerhet
Oppdateringen inneholder fire sikkerhetsrettelser for Chrome, inkludert de to nulldagene. En av dem, en feil med høy alvorlighetsgrad sporet som CVE-2021-37975, stammer fra Googles vanskelig å beskytte V8 JavaScript-motor som ble rapportert av en anonym forsker.
En annen feil av middels alvorlighetsgrad, sporet som CVE-2021-37976, er en “informasjonslekkasje i kjernen” og ble rapportert av Googles trusselanalysegruppe (TAG) med bistand fra sikkerhetsforskere fra Google Project Zero.
“Google er klar over at bedriftene for CVE-2021-37975 og CVE-2021-37976 eksisterer i naturen,” sa Google i utgivelsesnotater.
Disse to siste feilene betyr at Google har lappet 12 null-dager i Chrome siden begynnelsen av 2021. Google lappet to null-dagers Chrome-feil 13. september, som markerer sin tiende null-dagers oppdatering for året.
TAG er gruppen på Google som spesialiserer seg på sporing av statssponserte angripere og har tidligere avdekket fryktelig aktivitet fra nordkoreanske hackere og angrep på iOS og vanlige nettlesere.
Google Project Zero -forsker Samuel Groß startet nylig et prosjekt for å løse V8 -feil, som han bemerket er spesielt farlig.
“V8 -feil muliggjør vanligvis konstruksjon av uvanlig kraftige bedrifter,” advarte Groß. Disse feilene er også motstandsdyktige mot moderne maskinvareassisterte begrensninger.
Detaljer om de to nye Chrome-feilene har ennå ikke blitt lagt til Google Project Zero “0-day in the wild” -sporing. Etter å ha lagt til disse Chrome-feilene, vil listen inneholde totalt 48 null-dagers feil som er funnet å ha blitt utnyttet i naturen siden begynnelsen av 2021. Disse feilene har påvirket programvare og maskinvare fra Google, Apple, Adobe, Microsoft, Qualcomm, og ARM.
SE: Halvparten av virksomhetene kan ikke få øye på disse tegnene på trusler om intern cybersikkerhet
Google Project Zero og TAG sier at det har vært en økning i null-dagers utnyttelser i år, men hva det betyr når det gjelder angrep og forsvar er mindre tydelig.
“Det er ikke et en-til-en-forhold mellom antall 0-dager som brukes i naturen og antall 0-dager som blir oppdaget og avslørt som i naturen. Angriperne bak 0-dagers utnyttelser vil generelt at 0-dagene deres skal forbli skjulte og ukjente fordi det er slik de er mest nyttige, “skrev Googles sikkerhetsforskere.
Økningen i null-dager kan skyldes at forsvarerne blir flinkere til å identifisere og oppdage dem. Men det kan også skyldes at angriperne bruker dem oftere fordi det er flere plattformer å angripe og det er flere kommersielle antrekk som selger regjeringer tilgang til null-dager, og reduserer dermed behovet for tekniske ferdigheter for å bruke dem.
Sikkerhet
Fortinet, Shopify rapporterer problemer etter at rot -CA -sertifikatet fra Lets Encrypt utløper Ransomware -gjengene klager over at andre skurker stjeler løsepengene sine Bandwidth CEO bekrefter avbrudd forårsaket av DDoS -angrep Disse systemer møter milliarder av angrep hver måned mens hackere prøver å gjette passord Hvordan få en best betalende jobb innen cybersikkerhet Cybersecurity 101: Beskytt personvernet ditt mot hackere, spioner, regjeringen
Relaterte emner:
Sikkerhet TV Data Management CXO datasentre 