Det er på tide å oppdatere Chrome, og nok en gang, for tredje måned på rad, har Google fikset to tidligere ukjente “zero-day”-feil i verdens mest populære stasjonære nettleser.
Google avslørte at den hadde korrigert de to alvorlige null-dagers feilene i utgivelsesnotater for den stabile utgivelsen av Chrome versjon 95.0.4638.69 for Windows, Mac og Linux. Ethvert versjonsnummer høyere enn det vil ha rettelsene.
Det er en god idé å sjekke ut Googles støtteside for Chrome-oppdateringer, som forklarer hvordan Chrome kan stilles inn til å oppdatere automatisk når oppdateringer blir tilgjengelige. Ellers har Chrome en “Oppdater”-knapp som er farget rød hvis en oppdatering er minst en uke gammel, noe som indikerer at den bør installeres.
SE: Dette ny løsepengevare krypterer dataene dine og utgjør noen ekle trusler også
De to zero-day-feilene – som blir utnyttet av angripere nå – spores med identifikatorene CVE-2021-38000 og CVE-2021-38003. Begge ble funnet av Googles Threat Analysis Group (TAG), som sporer statsstøttet og cyberkriminell utnyttelsesaktivitet.
Den andre av de to zero-days ble også rapportert av Samuel Groß fra Google Project Zero 26. oktober, noe som indikerer hvor raskt Google reagerer på zero-day funn.
CVE- 2021-38000 er en designfeil på grunn av “utilstrekkelig validering av upålitelige input i intensjoner”. Det ble rapportert av TAG 15. september.
CVE-2021-38003 – en minnekorrupsjonsfeil, ifølge Google Project Zeros nulldagers-sporing – beskrives vagt som “upassende implementering i V8”. V8 er Chromes kraftige JavaScript-motor som Groß håper å støtte opp med ytterligere sandkassebeskyttelse. Som han bemerket i sitt forslag, lar V8-feil angripere lage “uvanlig kraftige utnyttelser” som er vanskelige å dempe med eksisterende sikkerhetsteknologier.
“Google er klar over at utnyttelser for CVE-2021-38000 og CVE-2021-38003 finnes i naturen,” sa Google i utgivelsesnotater. Oppdateringen vil rulle ut i løpet av de kommende dagene eller ukene, ifølge Google.
Det er åtte, for det meste minnerelaterte, sikkerhetsreparasjoner i denne Chrome-oppdateringen. De for øyeblikket oppførte alvorlige feilene inkluderer en bruk-etter-fri pålogging, en annen bruk-etter-fri i Chromes søppelinnsamling, utilstrekkelig datavalidering på Chromes New Tab-side, en typeforvirring i V8 og en bruk-etter. -gratis i netttransport.
SE: Skysikkerhet i 2021: En bedriftsguide til viktige verktøy og beste fremgangsmåter
Denne Chrome-utgivelsen markerer den 14. zero-day-feilen Google har rettet i Chrome i år. Den 10. var i midten av september da den lappet to zero-days. Den lappet ytterligere to zero-days i slutten av september og ytterligere to på torsdag.
Google har ikke tilskrevet utnyttelsene til noen hackergruppe.
At Google har lappet et uvanlig høyt antall nulldagersfeil i Chrome i 2021 kan tolkes på flere måter. Jo flere som blir oppdaget og jo raskere de fikses via oppdateringer er bra for sluttbrukere. Når den er lappet, er utnyttelsen mindre verdifull. Dette kan bety at forsvarere blir bedre til å oppdage null-dager.
På den annen side har Google Project Zero sett en økning i null-dager som påvirker store plattformer som Chrome, Windows og iOS det siste året . Grunnen til det kan være kommersialiseringen av null-dagers utnyttelsesmarkedet, som gir en snarvei til anskaffelse av utnyttelser som ellers krever ferdigheter for å utvikle seg.
Sikkerhet
Hackere på en eller annen måte fikk rootsettet sitt en Microsoft-utstedt digital signatur Dette monsteret av en phishing-kampanje er ute etter passordene dine SolarWinds-hackere Nobelium skal slå globale IT-forsyningskjeder igjen, Microsoft advarer om at Hackere skjuler sin ondsinnede JavaScript-kode med et vanskelig triks Microsoft Teams: Videosamtalene dine har nettopp fått et stort sikkerhetsløft. Cybersecurity 101: Beskytt personvernet ditt mot hackere, spioner, myndighetene Google | Sikkerhets-TV | Databehandling | CXO | Datasentre