Varför är en ram för nollförtroende bättre än en säkerhetsmodell? Titta nu
För andra gången denna månad har Google korrigerat två tidigare okända eller “nolldagars” säkerhetsbrister i Chrome som redan utnyttjas av angripare.
Google har släppt en stabil Chrome-uppdatering för Windows, Mac och Linux-maskiner för att åtgärda två nolldagars brister som påverkar den mest populära webbläsaren på webben.
Uppdateringen driver Chrome upp till version 94.0.4606.71. På grund av attackerna är det klokt för organisationer och konsumenter att uppdatera så snart det blir tillgängligt. Google säger att det kommer att lanseras under “kommande dagar/veckor”.
SE: Vill du inte bli hackad? Undvik sedan dessa tre ”exceptionellt farliga” cybersäkerhetsfel
Uppdateringen innehåller fyra säkerhetsåtgärder för Chrome, inklusive de två nolldagarna. En av dem, en allvarlig brist som spåras som CVE-2021-37975, härrör från Googles svårskyddade V8 JavaScript-motor som rapporterades av en anonym forskare.
En annan medelfall, spårad som CVE-2021-37976, är en “informationsläcka i kärnan” och rapporterades av Googles hotanalysgrupp (TAG) med hjälp av Säkerhetsforskare från Google Project Zero.
“Google är medvetet om att bedrifterna för CVE-2021-37975 och CVE-2021-37976 existerar i naturen”, sa Google i utgivningsanmärkningar.
Dessa två senaste brister betyder att Google har korrigerat 12 nolldagar under Chrome sedan början av 2021. Google lappade två nolldagars Chrome-brister den 13 september, vilket markerar sin tionde nolldagars patch för året.
TAG är gruppen på Google som specialiserat sig på att spåra statligt sponsrade angripare och har tidigare upptäckt otrevlig aktivitet från nordkoreanska hackare och attacker mot iOS och vanliga webbläsare.
Google Project Zero -forskaren Samuel Groß startade nyligen ett projekt för att lösa V8 -buggar, som han noterade är särskilt farliga.
“V8 -buggar tillåter vanligtvis konstruktion av ovanligt kraftfulla exploater”, varnade Groß. Dessa buggar är också resistenta mot moderna hårdvaruassisterade mildringar.
Detaljer om de två nya Chrome-buggarna har ännu inte lagts till Google Project Zeros “0-day in the wild” -spårare. Efter att ha lagt till dessa Chrome-buggar skulle listan innehålla totalt 48 nolldagars buggar som visat sig ha utnyttjats i naturen sedan början av 2021. Dessa buggar har påverkat programvara och hårdvara från Google, Apple, Adobe, Microsoft, Qualcomm, och ARM.
SE: Hälften av företagen kan inte upptäcka dessa tecken på hot mot cybersäkerhet inuti
Google Project Zero och TAG säger att det har varit en ökning av nolldagars utnyttjanden i år, men vad det innebär när det gäller offensiv och försvar är mindre klart.
“Det finns inte ett en-till-ett-förhållande mellan antalet 0-dagar som används i naturen och antalet 0-dagar som upptäcks och avslöjas som i det vilda. Angriparna bakom 0-dagars exploater i allmänhet vill att deras 0-dagar förblir dolda och okända eftersom det är så de är mest användbara, “skrev Googles säkerhetsforskare.
Ökningen i nolldagar kan bero på att försvarare blir bättre på att identifiera och upptäcka dem. Men det kan också bero på att angripare använder dem oftare eftersom det finns fler plattformar att attackera och det finns fler kommersiella kläder som säljer regeringar tillgång till nolldagar, vilket minskar behovet av tekniska färdigheter för att använda dem.
Säkerhet
T-Mobile-hack: Allt du behöver veta Surfshark VPN-recension: Det är billigt, men är det bra? De bästa webbläsarna för integritet Cybersäkerhet 101: Skydda din integritet De bästa antivirusprogrammen och apparna De bästa VPN -tjänsterna för företag och hemanvändning De bästa säkerhetsnycklarna för 2FA Ransomware -hotet växer: Vad måste hända för att stoppa attacker att bli värre? (ZDNet YouTube)
Relaterade ämnen:
Säkerhets -TV -datahantering CXO -datacenter 