Chrome behebt den 8. Zero-Day im Jahr 2022 – überprüfen Sie jetzt Ihre Version

Google hat gerade den achten Chrome gepatcht Zero-Day-Loch des Jahres bisher.

Zero-Days sind Fehler, für die es null Tage gab, die Sie proaktiv hätten aktualisieren können …

… weil Cyberkriminelle den Fehler nicht nur zuerst gefunden haben, sondern auch herausgefunden haben, wie sie ihn für schändliche Zwecke ausnutzen können, bevor ein Patch vorbereitet und veröffentlicht wurde.

Die Kurzversion dieses Artikels lautet also: Gehen Sie zu Chrome Drei-Punkte-Menü (⋮), wähle Hilfe > Über Chrome, und überprüfen Sie, ob Sie die Version haben 107.0.5304.121 oder höher.

Zero-Days aufdecken

Vor zwei Jahrzehnten wurden Zero-Days oft sehr schnell weithin bekannt, typischerweise aus einem (oder beiden) von zwei Gründen:

• Ein sich selbst verbreitender Virus oder Wurm wurde veröffentlicht, um den Fehler auszunutzen. Dies lenkte nicht nur die Aufmerksamkeit auf die Sicherheitslücke und wie sie missbraucht wurde, sondern stellte auch sicher, dass eigenständige, funktionierende Kopien des bösartigen Codes weit und breit für die Analyse durch die Forscher gesprengt wurden.
• Ein nicht durch Geldverdienen motivierter Fehlerjäger veröffentlichte Beispielcode und prahlte damit. Paradoxerweise schadete dies vielleicht gleichzeitig der Sicherheit, indem es Cyberkriminellen ein „Gratisgeschenk“ überreichte, das sie sofort für Angriffe verwenden konnten, und half der Sicherheit, indem es Forscher und Anbieter dazu brachte, das Problem schnell zu beheben oder eine Problemumgehung zu finden.

Heutzutage ist das Zero-Day-Spiel etwas anders, da moderne Abwehrmaßnahmen dazu neigen, Software-Schwachstellen schwerer auszunutzen.

Zu den heutigen Verteidigungsschichten gehören: zusätzlicher Schutz, der in Betriebssysteme selbst integriert ist; sicherere Softwareentwicklungstools; sicherere Programmiersprachen und Codierungsstile; und leistungsfähigere Tools zur Abwehr von Cyberbedrohungen.

In den frühen 2000er Jahren zum Beispiel – der Ära der sich superschnell ausbreitenden Viren wie z Roter Code und SQL Slammer – fast jeder Stack-Pufferüberlauf und viele, wenn nicht die meisten Heap-Pufferüberläufe, könnten in kurzer Zeit von theoretischen Schwachstellen in praktikable Exploits umgewandelt werden.

Mit anderen Worten, das Finden von Exploits und das „Löschen“ von 0-Days war manchmal fast so einfach wie das Finden des zugrunde liegenden Fehlers überhaupt.

Und das bei vielen Usern, die mit laufen Administrator Da sie sowohl bei der Arbeit als auch zu Hause ständig Zugriffsrechte hatten, mussten Angreifer nur selten Wege finden, Exploits miteinander zu verketten, um einen infizierten Computer vollständig zu übernehmen.

Aber in den 2020er Jahren praktikabel Exploits zur Remote-Code-Ausführung – Bugs (oder Ketten von Bugs), die ein Angreifer zuverlässig nutzen kann, um Malware auf Ihrem Computer einzuschleusen, indem er Sie zum Beispiel dazu verleitet, eine einzelne Seite auf einer mit Sprengfallen versehenen Website anzuzeigen – sind im Allgemeinen viel schwerer zu finden und viel wert mehr Geld im Cyberunderground als Ergebnis.

Einfach gesagt, diejenigen, die heutzutage Zero-Day-Exploits in die Finger bekommen, neigen dazu, nicht mehr damit zu prahlen.

Sie neigen auch dazu, sie nicht bei Angriffen zu verwenden, die das „Wie und Warum“ des Eindringens offensichtlich machen würden, oder die dazu führen würden, dass funktionierende Beispiele des Exploit-Codes für Analysen und Untersuchungen leicht verfügbar werden.

Infolgedessen werden Zero-Days heutzutage oft erst bemerkt, nachdem ein Threat-Response-Team gerufen wurde, um einen Angriff zu untersuchen, der bereits erfolgreich war, aber bei üblichen Angriffsmethoden (z. B. Phishing-Passwörtern, fehlenden Patches oder vergessenen Servern) nicht der Fall zu sein scheint die Ursache gewesen.

Pufferüberlauf ausgesetzt

In diesem Fall jetzt offiziell benannt CVE-2022-4135, der Käfer wurde berichtet von Googles eigener Threat Analysis Group, wurde aber nicht proaktiv gefunden, da Google dies zugibt „sich bewusst, dass ein Exploit […] in freier Wildbahn existiert.“

Die Schwachstelle wurde a High Schweregrad und wird einfach beschrieben als: Heap-Pufferüberlauf in der GPU.

Pufferüberläufe bedeuten im Allgemeinen, dass Code aus einem Teil eines Programms außerhalb der ihm offiziell zugewiesenen Speicherblöcke schreibt und Daten mit Füßen tritt, auf die sich später ein anderer Teil des Programms stützt (und denen daher implizit vertraut wird).

Wie Sie sich vorstellen können, kann viel schief gehen, wenn ein Pufferüberlauf auf eine hinterhältige Weise ausgelöst wird, die einen sofortigen Programmabsturz verhindert.

Der Überlauf könnte zum Beispiel verwendet werden, um einen Dateinamen zu vergiften, den ein anderer Teil des Programms verwenden wird, wodurch er Daten dorthin schreibt, wo er nicht sollte; oder um das Ziel einer Netzwerkverbindung zu ändern; oder sogar den Ort im Speicher zu ändern, von dem aus das Programm als nächstes Code ausführt.

Google sagt nicht ausdrücklich, wie dieser Fehler ausgenutzt werden könnte (oder wurde), aber es ist ratsam anzunehmen, dass eine Art Remote-Code-Ausführung, die weitgehend gleichbedeutend ist mit „heimlichem Einschleusen von Malware“, angesichts des Fehlers möglich ist beinhaltet ein falsches Management des Gedächtnisses.

Was ist zu tun?

Chrome und Chromium werden aktualisiert auf 107.0.5304.121 auf Mac und Linux und zu 107.0.5304.121 or 107.0.5304.122 unter Windows (nein, wir wissen nicht, warum es zwei verschiedene Versionen gibt), also stellen Sie sicher, dass Sie Versionsnummern haben, die gleich oder neuer als diese sind.

Um Ihre Chrome-Version zu überprüfen und ein Update zu erzwingen, wenn Sie im Rückstand sind, gehen Sie zu Drei-Punkte-Menü (⋮) und wähle Hilfe > Über Chrome.

Microsoft Edge basiert, wie Sie wahrscheinlich wissen, auf dem Chromium-Code (dem Open-Source-Kern von Chrome), hat aber seit dem Tag, bevor die Bedrohungsforscher von Google diesen Fehler protokolliert haben, kein offizielles Update erhalten (und hatte kein Update die explizit alle Sicherheitsfixes seit dem 2022 auflistet).

Wir können Ihnen also nicht sagen, ob Edge betroffen ist oder ob Sie ein Update für diesen Fehler erwarten sollten, aber wir empfehlen, das von Microsoft im Auge zu behalten offizielle Versionshinweise nur für den Fall.

---