Googles første stabile kanalversion af Chrome 105 til Windows, Mac og Linux, der blev udgivet i denne uge, indeholdt rettelser til 24 sårbarheder i tidligere versioner af softwaren, inklusive en "kritisk" fejl og otte, som virksomheden vurderede som værende "høj" alvorlighed.
En flerhed - ni - af de sikkerhedsproblemer, som Google behandlede med Chrome 105, var såkaldte use-after-free sårbarheder eller fejl, der tillader angribere at bruge tidligere frigjorte hukommelsespladser til at udføre ondsindet kode, korrupte data og udføre andre ondsindede handlinger . Fire af de korrigerede sårbarheder var heap buffer-overflows i forskellige Chrome-komponenter, herunder WebUI og Screen Capture.
Angribere udnytter ofte bufferoverløb til en række ondsindede formål, herunder eksekvering af tilfældig kode, overskrivning af data, nedbrud af systemer og udløsning af denial-of-service-betingelser.
Udklipsholder overskrivning
Et problem, som Google tilsyneladende ikke har rettet i opdateringen, er centreret omkring udklipsholdere. Ifølge Malwarebytes, når brugere af Google Chrome - eller en hvilken som helst Chromium-baseret browser - besøger et websted, webstedet kan skubbe ethvert indhold, de ønsker, til brugerens OS-udklipsholderuden brugerens tilladelse eller interaktion.
"Det betyder, at ved blot at besøge et websted, kan dataene på din udklipsholder blive overskrevet uden dit samtykke eller viden," sagde Malwarebytes.
Dette kan resultere i, at brugere mister værdifulde data, som de måske ville have ønsket at klippe og indsætte andre steder, og samtidig give angribere en åbning til at forsøge at snige ondsindet kode på en brugers system, sagde sikkerhedsleverandøren. Problemet har at gøre med fraværet af ethvert krav i Chrome og Chromium-baserede browsere for, at brugere skal tage specifikke trin, såsom at bruge "Ctrl+C" til at kopiere indhold fra et websted til brugerens udklipsholder, sagde Malwarebytes.
Sikkerhedsforsker Jeff Johnson identificerede problemet med Chrome som en del af et bredere problem som påvirker både Safari og Firefox såvel. "Chrome er i øjeblikket den værste lovovertræder, fordi kravet om brugerbevægelser for at skrive til udklipsholderen ved et uheld blev brudt i version 104," sagde han i en rapport i denne uge.
Men virkeligheden er, at brugere af andre browsere som Firefox og Safari kan få websteder til at overskrive deres systemudklipsholdere nemmere, end de er klar over, sagde Johnson. Selvom begge disse browsere kræver, at brugere tager nogle handlinger for at kopiere webstedsindhold til deres udklipsholdere, er handlingerne meget bredere, end de måske forestiller sig.
For eksempel kan handlinger som at fokusere ud på en skærm eller trykke på tastaturet/tasten og musen nedad/musen op, resultere i, at webstedsindhold bliver kopieret til udklipsholderen uden brugerens viden, sagde Johnson.
Forskeren bemærkede, at Chrome-udviklere allerede er klar over problemet og løser det. Google reagerede ikke umiddelbart på en Dark Reading-anmodning om kommentar.
"Angribere kan misbruge denne fejl til at kopiere ondsindede links til brugernes udklipsholdere, hvilket kan resultere i, at brugere indsætter disse links i deres adresselinje og får adgang til ondsindede websteder ved et uheld," siger Ivan Righi, senior cybertrusselsanalytiker hos Digital Shadows.
"En anden måde, denne fejl kan udnyttes på, er at udføre svigagtige kryptovalutatransaktioner. Trusselsaktører kunne udnytte fejlen i forbindelse med social engineering-angreb for at få brugerne til at indtaste de forkerte tegnebogsadresser for transaktioner,” siger Righi. Sandsynligheden for, at sådanne angreb lykkes, er dog lav, fordi brugere sandsynligvis vil bemærke unormalt indhold placeret på deres udklipsholder, siger han.
Et væld af brug-efter-fri-udgaver
I mellemtiden blev den eneste kritiske sårbarhed (CVE-2022-3038), som Google rettet med den stabile version af Chrome 105, rapporteret af en sikkerhedsforsker fra sit eget Project Zero-fejljagthold: Den brug-efter-fri fejl i Google Chrome Network Service giver fjernangribere en måde at udføre vilkårlig kode på
eller udløse lammelsesangrebsbetingelser på brugersystemer ved at få dem til at besøge et våbenbaseret websted.
Eksterne fejljægere og sikkerhedsforskere rapporterede alle de resterende sårbarheder, som Google behandlede denne uge i Chrome. Den mest betydningsfulde blandt dem ser ud til at have været CVE-2022-3039, en alvorlig sårbarhed uden brugereftersyn i WebSQL, som to forskere fra Kinas 360 Vulnerability Research Institute rapporterede til Google. Forskerne modtog $10,000 for at rapportere fejlen til Google - det højeste beløb, der blev tildelt i det nuværende sæt.
En anden stor effekt, brug-efter-fri fejl i Chrome Layout skaffede $9,000 til den anonyme sikkerhedsforsker, der rapporterede problemet til Google. Dusør for de resterende fejl varierede fra $1,000 til $7,500. Google har endnu ikke fastlagt belønninger for fire fejlafsløringer.
Som det er blevet standard praksis blandt større leverandører, sagde Google, at det har begrænset adgangen til fejldetaljer, indtil de fleste brugere har mulighed for at implementere den nye, stabile version af Chrome.
"Vi vil også beholde begrænsninger, hvis fejlen findes i et tredjepartsbibliotek, som andre projekter på samme måde afhænger af, men som endnu ikke er rettet." Google sagde i en blog i denne uge. En højtstående Microsoft-sikkerhedschef havde for nylig brugt samme grund til forklare, hvorfor Microsofts fejlmeddelelser også indeholder sparsomme detaljer disse dage.
Selvom fejlrettelserne næsten helt sikkert er den primære årsag til, at brugere måske ønsker at opdatere til den stabile version af Chrome 105, introducerer den nye browserversion også en håndfuld ekstra funktioner. Heriblandt funktioner, der giver udviklere mulighed for at tilføje Windows-kontrolknap - såsom lukning, maksimering eller minimering - til progressive webapps, en ny billed-i-billede API til Chrome på Android og forbedringer til Chromes Navigation API.
