Varför är ett ramverk för nollförtroende bättre än en perimetersäkerhetsmodell? Titta nu
Det är dags att uppdatera Chrome och återigen, för tredje månaden i rad, har Google åtgärdat två tidigare okända “nolldagars”-buggar i världens mest populära webbläsare för datorer.
Google avslöjade att den hade korrigerat de två allvarliga nolldagarsbristerna i releasenotes för den stabila versionen av Chrome version 95.0.4638.69 för Windows, Mac och Linux. Alla versionsnummer högre än det kommer att ha korrigeringarna.
Det är en bra idé att kolla in Googles supportsida för Chrome-uppdateringar, som förklarar hur Chrome kan ställas in så att den uppdateras automatiskt när patchar blir tillgängliga. Annars har Chrome en “Uppdatera”-knapp som är färgad röd om en uppdatering är minst en vecka gammal, vilket indikerar att den ska installeras.
SE: Detta ny ransomware krypterar din data och gör även några otäcka hot
De två nolldagarsbristerna – som utnyttjas av angripare nu – spåras med identifierarna CVE-2021-38000 och CVE-2021-38003. Båda hittades av Googles Threat Analysis Group (TAG), som spårar statligt sponsrad och cyberkriminell exploatering.
Den andra av de två nolldagarna rapporterades också av Samuel Groß från Google Project Zero den 26 oktober, vilket indikerar hur snabbt Google svarar på nolldagars upptäckter.
CVE- 2021-38000 är ett designfel på grund av “otillräcklig validering av otillförlitlig input i Intents”. Det rapporterades av TAG den 15 september.
CVE-2021-38003 – ett minnesfel, enligt Google Project Zeros nolldagarsspårare – beskrivs vagt som “olämplig implementering i V8”. V8 är Chromes kraftfulla JavaScript-motor som Groß hoppas kunna stödja med ytterligare sandlådeskydd. Som han noterade i sitt förslag tillåter V8-buggar angripare att skapa “ovanligt kraftfulla utnyttjande” som är svåra att mildra med befintlig säkerhetsteknik.
“Google är medvetet om att exploateringar för CVE-2021-38000 och CVE-2021-38003 finns i det vilda”, sa Google i release notes. Uppdateringen kommer att rullas ut under de kommande dagarna eller veckorna, enligt Google.
Det finns åtta, mestadels minnesrelaterade, säkerhetskorrigeringar i den här Chrome-uppdateringen. De för närvarande angivna bristerna med hög allvarlighetsgrad inkluderar en användning-efter-fri inloggning, en annan användning-efter-fri i Chromes sophämtning, otillräcklig datavalidering på Chromes sida Ny flik, en typförvirring i V8 och en användning efter -gratis i webbtransport.
SE: Molnsäkerhet 2021: En affärsguide till viktiga verktyg och bästa praxis
Denna Chrome-release markerar det 14:e nolldagsfelet som Google har åtgärdat i Chrome i år. Den 10:e var i mitten av september när den lappade två nolldagar. Det fixade ytterligare två nolldagar i slutet av september och ytterligare två på torsdagen.
Google har inte tillskrivit någon hackningsgrupp.
Att Google har korrigerat ett ovanligt stort antal nolldagarsbrister i Chrome 2021 kan tolkas på flera sätt. Ju fler som upptäcks och desto snabbare fixas de via uppdateringar är bra för slutanvändare. När den väl har patchats är exploateringen mindre värdefull. Detta kan innebära att försvarare blir bättre på att upptäcka nolldagar.
Å andra sidan har Google Project Zero sett en uppgång i nolldagar som påverkar stora plattformar som Chrome, Windows och iOS under det senaste året . Anledningen till det kan vara kommersialiseringen av noll-dagars exploateringsmarknaden, vilket ger en genväg till förvärvet av exploits som annars kräver kompetens för att utvecklas.
Säkerhet
Hackare på något sätt fick sitt rootkit en Microsoft-utfärdad digital signatur Detta monster av en nätfiskekampanj är ute efter dina lösenord SolarWinds hackare Nobelium ska slå globala IT-försörjningskedjor igen, varnar Microsoft Hackare döljer sin skadliga JavaScript-kod med ett svårslagen trick Microsoft Teams: Dina videosamtal har precis fått en stor säkerhetshöjning Cybersecurity 101: Skydda din integritet från hackare, spioner, regeringen Google | Säkerhets-TV | Datahantering | CXO | Datacenter