Het is tijd om Chrome te updaten en opnieuw heeft Google voor de derde maand op rij twee voorheen onbekende 'zero-day'-bugs opgelost in 's werelds populairste desktopbrowser.
Google heeft bekendgemaakt dat het een patch heeft uitgevoerd de twee zeer ernstige zero-day-fouten in release-opmerkingen voor de stabiele release van Chrome-versie 95.0.4638.69 voor Windows, Mac en Linux. Elk versienummer hoger dan dat heeft de fixes.
Het is een goed idee om de ondersteuningspagina van Google voor Chrome-updates te bekijken, waarin wordt uitgelegd hoe Chrome kan worden ingesteld om automatisch te updaten wanneer patches beschikbaar komen. Anders heeft Chrome een 'Update'-knop die rood gekleurd is als een update minstens een week oud is, wat aangeeft dat deze moet worden geïnstalleerd.
ZIE: Dit nieuwe ransomware versleutelt uw gegevens en maakt ook enkele vervelende bedreigingen
De twee zero-day-fouten – die nu door aanvallers worden uitgebuit – worden gevolgd met de identifiers CVE-2021-38000 en CVE-2021-38003. Beide zijn gevonden door Google's Threat Analysis Group (TAG), die door de staat gesponsorde en cybercriminele exploitactiviteiten volgt.
De tweede van de twee zero-days werd op 26 oktober ook gerapporteerd door Samuel Groß van Google Project Zero, wat aangeeft hoe snel Google reageert op zero-day-ontdekkingen.
CVE- 2021-38000 is een ontwerpfout vanwege “onvoldoende validatie van niet-vertrouwde invoer in Intents”. Het werd gemeld door TAG op 15 september.
CVE-2021-38003 — een geheugencorruptiefout, volgens de zero-day tracker van Google Project Zero — wordt vaag beschreven als “ongepaste implementatie in V8”. V8 is de krachtige JavaScript-engine van Chrome die Groß hoopt te versterken met extra sandbox-beveiligingen. Zoals hij in zijn voorstel opmerkte, stellen V8-bugs aanvallers in staat om “ongewoon krachtige exploits” te creëren die moeilijk te verminderen zijn met bestaande beveiligingstechnologieën.
“Google is zich ervan bewust dat exploits voor CVE-2021-38000 en CVE-2021-38003 in het wild bestaan”, zei Google in de release-opmerkingen. Volgens Google wordt de update de komende dagen of weken uitgerold.
Er zijn acht, voornamelijk geheugengerelateerde, beveiligingsoplossingen in deze Chrome-update. De momenteel vermelde zeer ernstige fouten zijn onder meer een gebruik-na-vrij in Aanmelden, een ander gebruik-na-vrij in de afvalverzameling van Chrome, onvoldoende gegevensvalidatie op de nieuwe tabbladpagina van Chrome, een typeverwarring in V8 en een gebruik-na -gratis in webtransport.
ZIE: Cloudbeveiliging in 2021: een zakelijke gids voor essentiële tools en best practices
Deze Chrome-release markeert de 14e zero-day-fout die Google dit jaar in Chrome heeft gepatcht. De 10e was half september toen er twee zero-days werden gepatcht. Het heeft eind september nog twee zero-days gepatcht en donderdag nog eens twee.
Google heeft de exploits aan geen enkele hackgroep toegeschreven.
Dat Google in 2021 een ongewoon hoog aantal zero-day-fouten in Chrome heeft gepatcht, kan op verschillende manieren worden geïnterpreteerd. Hoe meer er ontdekt worden en hoe sneller ze worden opgelost via updates, dat is goed voor eindgebruikers. Eenmaal gepatcht, is de exploit minder waardevol. Dit zou kunnen betekenen dat verdedigers beter worden in het herkennen van zero-days.
Aan de andere kant heeft Google Project Zero het afgelopen jaar een stijging gezien van het aantal zero-days, wat gevolgen heeft gehad voor grote platforms zoals Chrome, Windows en iOS. . De reden hiervoor zou de commercialisering van de zero-day exploit-markt kunnen zijn, die een kortere weg biedt naar het verwerven van exploits waarvoor anders vaardigheden nodig zijn om zich te ontwikkelen.
Beveiliging
Hackers op de een of andere manier hun rootkit een door Microsoft uitgegeven digitale handtekening hebben gekregen Dit monster van een phishing-campagne zit achter uw wachtwoorden aan. SolarWinds-hackers Nobelium om opnieuw wereldwijde IT-toeleveringsketens aan te vallen. Uw videogesprekken hebben zojuist een grote beveiligingsboost gekregen Cybersecurity 101: bescherm uw privacy tegen hackers, spionnen, de overheid Google | Beveiliging TV | Gegevensbeheer | CXO | Datacenters