Google har udsendt en presserende opdatering for at løse en nyligt opdaget sårbarhed i Chrome, som har været under aktiv udnyttelse i naturen, hvilket markerer den ottende nul-dages sårbarhed, der blev identificeret for browseren i 2023.
Identificeret som CVE-2023-7024, sagde Google, at sårbarheden er en betydelig heap-bufferoverløbsfejl i Chromes WebRTC-modul, der tillader fjernudførelse af kode (RCE).
WebRTC er et open source-initiativ, der muliggør kommunikation i realtid gennem API'er og nyder udbredt støtte blandt de førende browserproducenter.
Hvordan CVE-2023-7024 truer Chrome-brugere
Lionel Litty, chefsikkerhedsarkitekt hos Menlo Security, forklarer, at risiko ved udnyttelse er evnen til at opnå RCE i renderingsprocessen. Dette betyder, at en dårlig skuespiller kan køre vilkårlig binær kode på brugerens maskine uden for JavaScript-sandkassen.
Men reel skade er afhængig af at bruge fejlen som det første trin i en udnyttelseskæde; det skal kombineres med en sandbox escape-sårbarhed i enten Chrome selv eller OS for at være virkelig farlig.
"Denne kode er dog stadig i sandkasse på grund af Chromes multiprocesarkitektur," siger Litty, "så med netop denne sårbarhed kan en angriber ikke få adgang til brugerens filer eller begynde at implementere malware, og deres fodfæste på maskinen forsvinder, når den berørte fane er lukket."
Han påpeger, at Chromes Site Isolation-funktion generelt vil beskytte data fra andre websteder, så en angriber kan ikke målrette mod offerets bankoplysninger, selvom han tilføjer, at der er nogle subtile forbehold her.
Dette vil f.eks. udsætte en måloprindelse for den ondsindede oprindelse, hvis de bruger det samme websted: Med andre ord kan en hypotetisk malicious.shared.com målrette mod victim.shared.com.
"Mens adgang til mikrofonen eller kameraet kræver brugerens samtykke, gør adgangen til selve WebRTC det ikke," forklarer Litty. "Det er muligt, at denne sårbarhed kan målrettes af ethvert websted uden at kræve noget brugerinput ud over at besøge den ondsindede side, så fra dette perspektiv er truslen betydelig."
Aubrey Perin, ledende trusselsintelligensanalytiker ved Qualys Threat Research Unit, bemærker, at fejlens rækkevidde strækker sig ud over Google Chrome.
"Udnyttelsen af Chrome er knyttet til dets allestedsnærværende - selv Microsoft Edge bruger Chromium," siger han. "Så udnyttelse af Chrome kan også potentielt målrette Edge-brugere og give dårlige skuespillere en bredere rækkevidde."
Og det skal bemærkes, at Android-mobilenheder, der bruger Chrome, har deres egen risikoprofil; de sætter flere websteder i den samme gengivelsesproces i nogle scenarier, især på enheder, der ikke har meget RAM.
Browsere forbliver et topmål for cyberangreb
Store browserleverandører har for nylig rapporteret om et stigende antal nul-dages fejl - alene Google rapporterede fem siden august.
Apple, Microsoft og Firefox er blandt de andre, der har afsløret en række kritiske sårbarheder i deres browsere, inklusive nogle nul-dage.
Joseph Carson, chefsikkerhedsforsker og rådgivende CISO hos Delinea, siger, at det ikke er nogen overraskelse, at regeringssponserede hackere og cyberkriminelle målretter mod den populære software og konstant søger efter sårbarheder at udnytte.
"Dette fører typisk til en større angrebsflade på grund af softwarens udbredte brug, flere platforme, højværdimål og åbner normalt døren til supply chain-angreb," siger han.
Han bemærker, at disse typer sårbarheder også tager tid for mange brugere at opdatere og reparere sårbare systemer.
"Derfor vil angribere sandsynligvis målrette mod disse sårbare systemer i mange måneder fremover," siger Carson.
Han tilføjer: "Da denne sårbarhed bliver aktivt udnyttet, betyder det sandsynligvis, at mange brugeres systemer allerede er blevet kompromitteret, og det ville være vigtigt at være i stand til at identificere enheder, der er blevet målrettet mod og hurtigt patche disse systemer."
Som et resultat, bemærker Carson, bør organisationer undersøge følsomme systemer med denne sårbarhed for at fastslå eventuelle risici eller potentiel væsentlig påvirkning.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/cloud-security/google-eighth-zero-day-patch-2023-chrome
- :har
- :er
- :ikke
- 2023
- 7
- a
- evne
- I stand
- adgang
- opnå
- aktiv
- aktivt
- aktører
- adresse
- Tilføjer
- rådgivende
- tillade
- tillader
- alene
- allerede
- også
- Skønt
- blandt
- an
- analytiker
- ,
- android
- enhver
- API'er
- arkitektur
- ER
- AS
- At
- angribe
- Angreb
- væk
- Bad
- Bank
- BE
- været
- være
- Beyond
- browser
- browsere
- buffer
- bufferoverløb
- Bug
- bugs
- by
- værelse
- CAN
- kan ikke
- kæde
- chef
- Chrome
- krom
- CISO
- lukket
- kode
- KOM
- kombineret
- Kom
- Kommunikation
- Kompromitteret
- samtykke
- konstant
- kunne
- kritisk
- Cyber angreb
- cyberkriminelle
- skader
- Dangerous
- data
- implementering
- Bestem
- Enheder
- opdaget
- do
- gør
- Ved
- grund
- Edge
- ottende
- enten
- muliggør
- undslippe
- især
- Endog
- eksempel
- udførelse
- Forklarer
- Exploit
- udnyttelse
- Exploited
- udnytte
- udvider
- Feature
- Filer
- Firefox
- Fornavn
- fejl
- Til
- fra
- generelt
- Goes
- Google Chrome
- Regering
- regeringen sponsoreret
- Dyrkning
- hackere
- Have
- he
- link.
- HTML
- HTTPS
- identificeret
- identificere
- if
- KIMOs Succeshistorier
- påvirket
- vigtigt
- in
- I andre
- Herunder
- oplysninger
- initiativ
- indgang
- Intelligens
- undersøge
- isolation
- Udstedt
- IT
- ITS
- selv
- JavaScript
- jpg
- lige
- større
- føre
- førende
- Leads
- Sandsynlig
- Lot
- maskine
- Makers
- malware
- mange
- mærkning
- materiale
- midler
- mikrofon
- microsoft
- Microsoft Edge
- Mobil
- mobilenheder
- Moduler
- måned
- flere
- behov
- ingen
- bemærkede
- Noter
- nummer
- of
- on
- åbent
- open source
- åbner
- or
- organisationer
- oprindelse
- OS
- Andet
- Andre
- ud
- uden for
- egen
- side
- patch
- perspektiv
- Platforme
- plato
- Platon Data Intelligence
- PlatoData
- punkter
- Populær
- mulig
- potentiale
- potentielt
- behandle
- Profil
- beskytte
- sætte
- hurtigt
- RAM
- nå
- ægte
- realtid
- for nylig
- Udgivelser
- forblive
- fjern
- rapporteret
- Kræver
- forskning
- resultere
- Risiko
- risici
- Kør
- s
- Said
- samme
- sandkasse
- siger
- scenarier
- Videnskabsmand
- søgning
- sikkerhed
- følsom
- delt
- bør
- signifikant
- siden
- websted
- Websteder
- So
- Software
- nogle
- Kilde
- Sponsoreret
- starte
- Trin
- Stadig
- forsyne
- forsyningskæde
- support
- overflade
- overraskelse
- Systemer
- Tag
- mål
- målrettet
- mål
- at
- deres
- Der.
- derfor
- Disse
- de
- denne
- dem
- selvom?
- trussel
- truer
- Gennem
- Tied
- tid
- til
- top
- virkelig
- typer
- typisk
- under
- enhed
- Opdatering
- presserende
- Brug
- brug
- Bruger
- brugere
- bruger
- ved brug af
- sædvanligvis
- leverandører
- Victim
- Sårbarheder
- sårbarhed
- Sårbar
- Hjemmeside
- hvornår
- mens
- bredere
- udbredt
- Wild
- vilje
- med
- inden for
- uden
- ord
- ville
- zephyrnet
