Το Chrome διορθώνει την 8η μηδενική ημέρα του 2022 – ελέγξτε την έκδοσή σας τώρα

Η Google μόλις διορθώθηκε το όγδοο του Chrome τρύπα μηδενικής ημέρας της χρονιάς μέχρι τώρα.

Το Zero-days είναι σφάλματα για τα οποία δεν υπήρχαν ημέρες που θα μπορούσατε να ενημερώσετε προληπτικά…

…επειδή οι εγκληματίες του κυβερνοχώρου όχι μόνο βρήκαν πρώτοι το σφάλμα, αλλά κατάλαβαν επίσης πώς να το εκμεταλλευτούν για κακόβουλους σκοπούς πριν προετοιμαστεί και δημοσιευτεί μια ενημέρωση κώδικα.

Έτσι, η γρήγορη έκδοση αυτού του άρθρου είναι: μεταβείτε στο Chrome Μενού με τρεις κουκκίδες (⋮), επιλέξτε Βοήθεια > Σχετικά με το Chromeκαι ελέγξτε ότι έχετε έκδοση 107.0.5304.121 ή αργότερα.

Αποκάλυψη μηδενικών ημερών

Πριν από δύο δεκαετίες, οι ημέρες μηδέν έγιναν συχνά ευρέως γνωστές πολύ γρήγορα, συνήθως για έναν (ή και για τους δύο) από τους δύο λόγους:

• Ένας ιός ή σκουλήκι που διαχέεται μόνος του απελευθερώθηκε για να εκμεταλλευτεί το σφάλμα. Αυτό έτεινε όχι μόνο να επιστήσει την προσοχή στο κενό ασφαλείας και στον τρόπο κατάχρησής του, αλλά και να διασφαλίσει ότι αυτοτελή, λειτουργικά αντίγραφα του κακόβουλου κώδικα εκτινάσσονταν σε μεγάλο βαθμό για να τα αναλύσουν οι ερευνητές.
• Ένας κυνηγός σφαλμάτων που δεν είχε κίνητρο να βγάλει χρήματα κυκλοφόρησε δείγμα κώδικα και καυχιόταν για αυτό. Παραδόξως, ίσως, αυτό έβλαψε ταυτόχρονα την ασφάλεια δίνοντας ένα «δωρεάν δώρο» σε εγκληματίες του κυβερνοχώρου για χρήση σε επιθέσεις αμέσως και βοήθησε την ασφάλεια προσελκύοντας ερευνητές και πωλητές να το διορθώσουν ή να βρουν μια λύση γρήγορα.

Αυτές τις μέρες, το παιχνίδι zero-day είναι μάλλον διαφορετικό, επειδή οι σύγχρονες άμυνες τείνουν να κάνουν πιο δύσκολο να εκμεταλλευτούν τα τρωτά σημεία του λογισμικού.

Τα σημερινά αμυντικά επίπεδα περιλαμβάνουν: πρόσθετες προστασίες ενσωματωμένες στα ίδια τα λειτουργικά συστήματα. ασφαλέστερα εργαλεία ανάπτυξης λογισμικού. πιο ασφαλείς γλώσσες προγραμματισμού και στυλ κωδικοποίησης. και πιο ισχυρά εργαλεία πρόληψης κυβερνοαπειλών.

Στις αρχές της δεκαετίας του 2000, για παράδειγμα – την εποχή των ιών που εξαπλώνονται εξαιρετικά γρήγορα, όπως π. Κόκκινος κώδικας και SQL Slammer – σχεδόν κάθε υπερχείλιση buffer στοίβας και πολλές, αν όχι οι περισσότερες υπερχειλίσεις buffer σωρού, θα μπορούσαν να μετατραπούν από θεωρητικά τρωτά σημεία σε πρακτικά exploit με γρήγορη σειρά.

Με άλλα λόγια, η εύρεση εκμεταλλεύσεων και η «απόθεση» 0 ημερών ήταν μερικές φορές σχεδόν τόσο απλή όσο η εύρεση του υποκείμενου σφάλματος εξαρχής.

Και με πολλούς χρήστες να τρέχουν με Administrator προνόμια όλη την ώρα, τόσο στη δουλειά όσο και στο σπίτι, οι εισβολείς σπάνια χρειαζόταν να βρουν τρόπους για να αλυσιδώσουν τα exploit μαζί για να καταλάβουν πλήρως έναν μολυσμένο υπολογιστή.

Αλλά στη δεκαετία του 2020, εφαρμόσιμο εκμεταλλεύσεις απομακρυσμένης εκτέλεσης κώδικα – σφάλματα (ή αλυσίδες σφαλμάτων) που ένας εισβολέας μπορεί να χρησιμοποιήσει αξιόπιστα για να εμφυτεύσει κακόβουλο λογισμικό στον υπολογιστή σας απλώς παρασύροντάς σας να προβάλετε μια σελίδα σε έναν ιστότοπο που έχει παγιδευτεί με λάθη, για παράδειγμα – είναι γενικά πολύ πιο δύσκολο να βρεθούν και αξίζουν πολλά περισσότερα χρήματα στον κυβερνοχώρο ως αποτέλεσμα.

Με απλά λόγια, όσοι κατακτούν τα κατορθώματα μηδενικής ημέρας αυτές τις μέρες τείνουν να μην καυχώνται πια για αυτά.

Τείνουν επίσης να μην τα χρησιμοποιούν σε επιθέσεις που θα καθιστούσαν προφανές το «πώς και γιατί» της εισβολής ή που θα οδηγούσαν σε δείγματα λειτουργίας του κώδικα εκμετάλλευσης να γίνονται άμεσα διαθέσιμα για ανάλυση και έρευνα.

Ως αποτέλεσμα, οι zero-days συχνά γίνονται αντιληπτές αυτές τις μέρες μόνο αφού κληθεί μια ομάδα απόκρισης απειλών να διερευνήσει μια επίθεση που έχει ήδη πετύχει, αλλά όπου οι συνήθεις μέθοδοι εισβολής (π.χ. κωδικοί ηλεκτρονικού ψαρέματος, ενημερώσεις κώδικα που λείπουν ή ξεχασμένοι διακομιστές) δεν φαίνεται να ήταν η αιτία.

Εκτεθειμένη υπερχείλιση buffer

Σε αυτή την περίπτωση, τώρα ορίζεται επίσημα CVE-2022-4135, το ζωύφιο αναφέρθηκε από την ομάδα ανάλυσης απειλών της Google, αλλά δεν βρέθηκε προληπτικά, δεδομένου ότι η Google παραδέχεται ότι είναι «Γνωρίζοντας ότι μια εκμετάλλευση […] υπάρχει στη φύση».

Η ευπάθεια έχει δοθεί α Ψηλά σοβαρότητας, και περιγράφεται απλώς ως: Υπερχείλιση buffer σωρού στην GPU.

Οι υπερχειλίσεις buffer γενικά σημαίνουν ότι ο κώδικας από ένα μέρος ενός προγράμματος γράφει έξω από τα μπλοκ μνήμης που του έχουν εκχωρηθεί επίσημα και καταπατά δεδομένα στα οποία αργότερα θα βασιστεί (και επομένως θα εμπιστευθούν σιωπηρά) κάποιο άλλο μέρος του προγράμματος.

Όπως μπορείτε να φανταστείτε, υπάρχουν πολλά που μπορούν να πάνε στραβά εάν μια υπερχείλιση buffer μπορεί να ενεργοποιηθεί με ύπουλο τρόπο που αποτρέπει την άμεση κατάρρευση προγράμματος.

Η υπερχείλιση θα μπορούσε να χρησιμοποιηθεί, για παράδειγμα, για να δηλητηριάσει ένα όνομα αρχείου που κάποιο άλλο μέρος του προγράμματος πρόκειται να χρησιμοποιήσει, με αποτέλεσμα να γράφει δεδομένα εκεί που δεν θα έπρεπε. ή για να αλλάξετε τον προορισμό μιας σύνδεσης δικτύου. ή ακόμα και να αλλάξετε τη θέση στη μνήμη από την οποία το πρόγραμμα θα εκτελέσει τον κώδικα στη συνέχεια.

Η Google δεν λέει ρητά πώς θα μπορούσε (ή έχει) εκμεταλλευτεί αυτό το σφάλμα, αλλά είναι σοφό να υποθέσουμε ότι κάποιο είδος απομακρυσμένης εκτέλεσης κώδικα, που είναι σε μεγάλο βαθμό συνώνυμο με την «κρυφή εμφύτευση κακόβουλου λογισμικού», είναι δυνατό, δεδομένου ότι το σφάλμα περιλαμβάνει κακή διαχείριση της μνήμης.

Τι να κάνω;

Το Chrome και το Chromium ενημερώνονται σε 107.0.5304.121 σε Mac και Linux και σε 107.0.5304.121 or 107.0.5304.122 στα Windows (όχι, δεν γνωρίζουμε γιατί υπάρχουν δύο διαφορετικές εκδόσεις), οπότε φροντίστε να ελέγξετε ότι έχετε αριθμούς εκδόσεων ίσους ή πιο πρόσφατους από αυτούς.

Για να ελέγξετε την έκδοση του Chrome που διαθέτετε και να αναγκάσετε μια ενημέρωση εάν είστε πίσω, μεταβείτε στο Μενού με τρεις κουκκίδες (⋮) και επιλέξτε Βοήθεια > Σχετικά με το Chrome.

Το Microsoft Edge, όπως πιθανότατα γνωρίζετε, βασίζεται στον κώδικα Chromium (τον πυρήνα ανοιχτού κώδικα του Chrome), αλλά δεν είχε επίσημη ενημέρωση από την προηγούμενη μέρα οι ερευνητές απειλών της Google κατέγραψαν αυτό το σφάλμα (και δεν είχε ενημέρωση που αναφέρει ρητά τυχόν διορθώσεις ασφαλείας από το 2022-11-10).

Επομένως, δεν μπορούμε να σας πούμε εάν το Edge επηρεάζεται ή αν θα πρέπει να περιμένετε μια ενημέρωση για αυτό το σφάλμα, αλλά σας συνιστούμε να παρακολουθείτε τα στοιχεία της Microsoft επίσημες σημειώσεις έκδοσης σε κάθε περίπτωση.

---