For anden gang i denne måned har Google lappet to tidligere ukendte eller 'nul-dages' sikkerhedsfejl i Chrome, der allerede udnyttes af angribere.
Google har udgivet en stabil kanal-Chrome-opdatering til Windows, Mac og Linux-maskiner til at løse to nul-dages fejl, der påvirker den mest populære browser på internettet.
Opdateringen skubber Chrome op til version 94.0.4606.71. På grund af angrebene er det klogt for organisationer og forbrugere at opdatere, så snart det bliver tilgængeligt. Google siger, at det ruller ud i de “kommende dage/uger”.
SE: Vil du ikke blive hacket? Undgå derefter disse tre 'usædvanligt farlige' fejl i cybersikkerhed
Opdateringen indeholder fire sikkerhedsrettelser til Chrome, inklusive de to nul-dage. En af dem, en sværhedsgrad, der blev sporet som CVE-2021-37975, stammer fra Googles svært beskyttede V8 JavaScript-motor, der blev rapporteret af en anonym forsker.
En anden fejl af mellemstor sværhedsgrad, sporet som CVE-2021-37976, er en “informationslækage i kernen” og blev rapporteret af Googles trusselanalysegruppe (TAG) med bistand fra Google Project Zero sikkerhedsforskere.
“Google er klar over, at bedrifterne for CVE-2021-37975 og CVE-2021-37976 findes i naturen,” sagde Google i udgivelsesnotater.
Disse seneste to fejl betyder, at Google har lappet 12 nul-dage i Chrome siden begyndelsen af 2021. Google lappede to nul-dages Chrome-fejl den 13. september, hvilket markerede sin 10. nul-dages patch for året.
TAG er gruppen hos Google, der har specialiseret sig i at spore statsstøttede angribere og har tidligere afdækket frygtelig aktivitet fra nordkoreanske hackere og angreb på iOS og almindelige browsere.
Google Project Zero -forsker Samuel Groß startede for nylig et projekt for at løse V8 -fejl, som han bemærkede er særlig farligt.
“V8 -fejl muliggør typisk konstruktion af usædvanligt kraftfulde bedrifter,” advarede Groß. Disse fejl er også modstandsdygtige over for moderne hardware-assisterede afbødninger.
Detaljer om de to nye Chrome-fejl er endnu ikke tilføjet Google Project Zero's “0-day in the wild” tracker. Efter tilføjelse af disse Chrome-fejl ville listen indeholde i alt 48 nul-dages fejl, der viste sig at have været udnyttet i naturen siden begyndelsen af 2021. Disse fejl har påvirket software og hardware fra Google, Apple, Adobe, Microsoft, Qualcomm, og ARM.
SE: Halvdelen af virksomhederne kan ikke se disse tegn på insider -cybersikkerhedstrusler
Google Project Zero og TAG siger, at der har været en stigning i nul-dages bedrifter i år, men hvad det betyder med hensyn til angreb og forsvar er mindre klart.
“Der er ikke en en-til-en sammenhæng mellem antallet af 0-dage, der bruges i naturen og antallet af 0-dage, der opdages og afsløres som i naturen. Angriberne bag 0-dages bedrifter generelt ønsker, at deres 0-dage forbliver skjult og ukendt, fordi det er sådan, de er mest nyttige, “skrev Googles sikkerhedsforskere.
Stigningen i nul-dage kan skyldes, at forsvarerne bliver bedre til at identificere og opdage dem. Men det kan også skyldes, at angriberne bruger dem oftere, fordi der er flere platforme til at angribe, og der er flere kommercielle outfits, der sælger regeringer adgang til nul-dage, hvilket reducerer behovet for tekniske færdigheder til at bruge dem.
Sikkerhed
T-Mobile hack: Alt hvad du behøver at vide Surfshark VPN anmeldelse: Det er billigt, men er det godt? De bedste browsere til beskyttelse af personlige oplysninger Cybersikkerhed 101: Beskyt dit privatliv Den bedste antivirussoftware og apps De bedste VPN'er til erhverv og hjemmebrug De bedste sikkerhedsnøgler til 2FA Ransomware -truslen vokser: Hvad skal der ske for at stoppe angreb, der bliver værre? (ZDNet YouTube)
Relaterede emner:
Sikkerheds -tv -datastyring CXO -datacentre 