Chrome retter den 8. nul-dag i 2022 – tjek din version nu

Google har netop rettet Chromes ottende nul-dages hul årets hidtil.

Nul-dage er fejl, hvor der var nul dage, du kunne have opdateret proaktivt...

…fordi cyberkriminelle ikke kun fandt fejlen først, men fandt også ud af, hvordan de kunne udnytte den til ondsindede formål, før en patch blev forberedt og offentliggjort.

Så den hurtige version af denne artikel er: gå til Chrome's Menu med tre prikker (⋮), vælg Hjælp > Om Chrome, og kontroller, at du har version 107.0.5304.121 eller senere.

Afdækning af nul-dage

For to årtier siden blev nul-dage ofte meget hurtigt kendt, typisk af en (eller begge) af to årsager:

• En selvspredende virus eller orm blev frigivet for at udnytte fejlen. Dette havde ikke kun en tendens til at henlede opmærksomheden på sikkerhedshullet, og hvordan det blev misbrugt, men også til at sikre, at selvstændige, arbejdskopier af den ondsindede kode blev sprængt vidt og bredt for forskere at analysere.
• En bug-jæger, der ikke var motiveret af at tjene penge, udgav prøvekode og pralede med det. Paradoksalt nok skadede dette måske samtidig sikkerheden ved at give en "gratis gave" til cyberkriminelle til brug i angreb med det samme, og hjalp sikkerheden ved at tiltrække forskere og leverandører til at rette det, eller komme med en løsning, hurtigt.

I disse dage er zero-day-spillet ret anderledes, fordi moderne forsvar har en tendens til at gøre softwaresårbarheder sværere at udnytte.

Dagens defensive lag omfatter: yderligere beskyttelse indbygget i selve operativsystemerne; sikrere softwareudviklingsværktøjer; sikrere programmeringssprog og kodningsstile; og mere kraftfulde værktøjer til forebyggelse af cybertrusler.

I begyndelsen af ​​2000'erne, for eksempel – æraen med superhurtigt-spredning af vira som f.eks. Kode Rød og SQL Slammer – næsten ethvert stackbufferoverløb, og mange, hvis ikke de fleste heap-bufferoverløb, kunne forvandles fra teoretiske sårbarheder til praktiske udnyttelser i hurtig rækkefølge.

Med andre ord, at finde exploits og "slippe" 0-dage var nogle gange næsten lige så simpelt som at finde den underliggende fejl i første omgang.

Og med mange brugere, der kører med Administrator privilegier hele tiden, både på arbejdet og derhjemme, havde angribere sjældent brug for at finde måder at kæde udnyttelser sammen for at overtage en inficeret computer fuldstændigt.

Men i 2020'erne, brugbart udnyttelse af fjernudførelse af kode – bugs (eller kæder af fejl), som en angriber pålideligt kan bruge til at implantere malware på din computer blot ved at lokke dig til at se en enkelt side på et f.eks. fanget websted – er generelt meget sværere at finde og meget værd flere penge i cyberundergrunden som følge heraf.

Kort sagt, de, der får fat i zero-day bedrifter i disse dage, har en tendens til ikke at prale af dem mere.

De har også en tendens til ikke at bruge dem i angreb, der ville gøre "hvordan og hvorfor" af indtrængen indlysende, eller som ville føre til, at arbejdseksempler af udnyttelseskoden bliver let tilgængelig til analyse og forskning.

Som et resultat bliver nul-dage ofte først bemærket i disse dage, efter at et trusselsresponsteam bliver kaldt til at undersøge et angreb, der allerede er lykkedes, men hvor almindelige indtrængningsmetoder (f.eks. phished-adgangskoder, manglende patches eller glemte servere) ikke ser ud til at har været årsagen.

Bufferoverløb udsat

I dette tilfælde nu officielt udpeget CVE-2022-4135, fejlen blev rapporteret af Googles egen Threat Analysis Group, men blev ikke fundet proaktivt, da Google indrømmer, at det er "vidende om, at en udnyttelse […] eksisterer i naturen."

Sårbarheden har fået en Høj sværhedsgrad og beskrives ganske enkelt som: Heap buffer overløb i GPU.

Bufferoverløb betyder generelt, at kode fra én del af et program skriver uden for de hukommelsesblokke, der officielt er allokeret til det, og tramper på data, som senere vil blive påberåbt (og derfor implicit vil blive stolet på) af en anden del af programmet.

Som du kan forestille dig, er der meget, der kan gå galt, hvis et bufferoverløb kan udløses på en snedig måde, der undgår et øjeblikkeligt programnedbrud.

Overløbet kunne f.eks. bruges til at forgifte et filnavn, som en anden del af programmet er ved at bruge, hvilket får det til at skrive data, hvor det ikke burde; eller for at ændre destinationen for en netværksforbindelse; eller endda for at ændre den placering i hukommelsen, hvorfra programmet vil udføre koden næste gang.

Google siger ikke eksplicit, hvordan denne fejl kunne blive (eller er blevet) udnyttet, men det er klogt at antage, at en form for fjernudførelse af kode, som stort set er synonymt med "hemmelig implantation af malware", er mulig, i betragtning af at fejlen involverer fejlstyring af hukommelsen.

Hvad skal jeg gøre?

Chrome og Chromium bliver opdateret til 107.0.5304.121 på Mac og Linux, og til 107.0.5304.121 or 107.0.5304.122 på Windows (nej, vi ved ikke, hvorfor der er to forskellige versioner), så sørg for at kontrollere, at du har versionsnumre svarende til eller nyere end disse.

For at tjekke din Chrome-version og gennemtvinge en opdatering, hvis du er bagud, skal du gå til Menu med tre prikker (⋮) og vælg Hjælp > Om Chrome.

Microsoft Edge, som du sikkert ved, er baseret på Chromium-koden (open source-kernen i Chrome), men har ikke haft en officiel opdatering siden dagen før, Googles trusselsforskere loggede denne fejl (og har ikke fået en opdatering der udtrykkeligt viser eventuelle sikkerhedsrettelser siden 2022-11-10).

Så vi kan ikke fortælle dig, om Edge er berørt, eller om du skal forvente en opdatering til denne fejl, men vi anbefaler at holde øje med Microsofts officielle udgivelsesnotater I tilfælde af.

---