Det er tid til at opdatere Chrome, og endnu en gang har Google for tredje måned i træk rettet to hidtil ukendte “nul-dages”-fejl i verdens mest populære desktopbrowser.
Google afslørede, at den havde rettet de to alvorlige nul-dages fejl i release notes for den stabile udgivelse af Chrome version 95.0.4638.69 til Windows, Mac og Linux. Ethvert versionsnummer, der er højere end det, vil have rettelserne.
Det er en god idé at tjekke Googles supportside for Chrome-opdateringer, som forklarer, hvordan Chrome kan indstilles til automatisk at opdatere, når patches bliver tilgængelige. Ellers har Chrome en “Opdater”-knap, der er farvet rød, hvis en opdatering er mindst en uge gammel, hvilket indikerer, at den skal installeres.
SE: Denne ny ransomware krypterer dine data og fremsætter også nogle grimme trusler
De to nul-dages fejl – som udnyttes af angribere nu – bliver sporet med identifikatorerne CVE-2021-38000 og CVE-2021-38003. Begge blev fundet af Googles Threat Analysis Group (TAG), som sporer statssponsoreret og cyberkriminel udnyttelsesaktivitet.
Den anden af de to nul-dage blev også rapporteret af Samuel Groß fra Google Project Zero den 26. oktober, hvilket indikerer, hvor hurtigt Google reagerer på nul-dages opdagelser.
CVE- 2021-38000 er en designfejl på grund af “utilstrækkelig validering af upålidelige input i Intents”. Det blev rapporteret af TAG den 15. september.
CVE-2021-38003 – en hukommelseskorruptionsfejl ifølge Google Project Zeros zero-day tracker – beskrives vagt som “upassende implementering i V8”. V8 er Chromes kraftfulde JavaScript-motor, som Groß håber at styrke med yderligere sandboxing-beskyttelse. Som han bemærkede i sit forslag, tillader V8-fejl angribere at skabe “usædvanligt kraftfulde udnyttelser”, som er svære at afbøde med eksisterende sikkerhedsteknologier.
“Google er klar over, at udnyttelser til CVE-2021-38000 og CVE-2021-38003 findes i naturen,” sagde Google i udgivelsesbemærkninger. Opdateringen udrulles i løbet af de kommende dage eller uger, ifølge Google.
Der er otte, for det meste hukommelsesrelaterede, sikkerhedsrettelser i denne Chrome-opdatering. De aktuelt anførte højsværhedsfejl omfatter en brug-efter-fri i login, en anden brug-efter-fri i Chromes affaldsindsamling, utilstrækkelig datavalidering på Chromes side Ny fane, en typeforvirring i V8 og en brug-efter -gratis i webtransport.
SE: Skysikkerhed i 2021: En virksomhedsguide til vigtige værktøjer og bedste praksis
Denne Chrome-udgivelse markerer den 14. nul-dages fejl, som Google har rettet i Chrome i år. Den 10. var i midten af september, da den lappede to nul-dage. Den rettede yderligere to nul-dage i slutningen af september og yderligere to i torsdags.
Google har ikke tilskrevet udnyttelserne til nogen hackergruppe.
At Google har rettet et usædvanligt højt antal nul-dages fejl i Chrome i 2021 kan tolkes på flere måder. Jo flere, der bliver opdaget, og jo hurtigere de rettes via opdateringer, er det godt for slutbrugerne. Når den først er rettet, er udnyttelsen mindre værdifuld. Dette kan betyde, at forsvarere bliver bedre til at se nul-dage.
På den anden side har Google Project Zero oplevet en stigning i nul-dage, der påvirker store platforme som Chrome, Windows og iOS i det seneste år . Årsagen til det kunne være kommercialiseringen af nul-dages udnyttelsesmarkedet, hvilket giver en genvej til erhvervelsen af udnyttelser, der ellers kræver færdigheder for at udvikle sig.
Sikkerhed
Hackere på en eller anden måde fik deres rootkit en Microsoft-udstedt digital signatur Dette monster af en phishing-kampagne er ude efter dine adgangskoder SolarWinds hackere Nobelium til at slå globale it-forsyningskæder igen, advarer Microsoft Hackere skjuler deres ondsindede JavaScript-kode med et svært at slå trick Microsoft Teams: Dine videoopkald har lige fået et stort sikkerhedsløft Cybersecurity 101: Beskyt dit privatliv mod hackere, spioner, regeringen Google | Sikkerheds-tv | Datastyring | CXO | Datacentre