Η πρώτη έκδοση σταθερού καναλιού της Google του Chrome 105 για Windows, Mac και Linux, που κυκλοφόρησε αυτήν την εβδομάδα, περιείχε διορθώσεις για 24 ευπάθειες σε προηγούμενες εκδόσεις του λογισμικού, συμπεριλαμβανομένου ενός "κρίσιμου" ελαττώματος και οκτώ που η εταιρεία αξιολόγησε ως "υψηλού" αυστηρότητα.
Ένα πλήθος - εννέα - από τα ζητήματα ασφαλείας που αντιμετώπισε η Google με το Chrome 105 ήταν τα λεγόμενα τρωτά σημεία χωρίς χρήση ή ελαττώματα που επιτρέπουν στους εισβολείς να χρησιμοποιούν προηγουμένως ελευθερωμένους χώρους μνήμης για να εκτελέσουν κακόβουλο κώδικα, να καταστρέψουν δεδομένα και να προβούν σε άλλες κακόβουλες ενέργειες . Τέσσερα από τα επιδιορθωμένα τρωτά σημεία ήταν υπερχειλίσεις buffer-σωρού σε διάφορα στοιχεία του Chrome, συμπεριλαμβανομένου του WebUI και του Screen Capture.
Οι εισβολείς συχνά εκμεταλλεύονται υπερχειλίσεις buffer για διάφορους κακόβουλους σκοπούς, συμπεριλαμβανομένης της εκτέλεσης τυχαίου κώδικα, της αντικατάστασης δεδομένων, της κατάρρευσης συστημάτων και της ενεργοποίησης συνθηκών άρνησης υπηρεσίας.
Αντικατάσταση πρόχειρου
Ένα πρόβλημα που η Google δεν φαίνεται να έχει διορθώσει στα κέντρα ενημέρωσης γύρω από τα πρόχειρα. Σύμφωνα με το Malwarebytes, όταν οι χρήστες του Google Chrome — ή οποιουδήποτε προγράμματος περιήγησης που βασίζεται σε Chromium — επισκέπτονται έναν ιστότοπο, ο ιστότοπος μπορεί να προωθήσει οποιοδήποτε περιεχόμενο θέλει στο πρόχειρο του λειτουργικού συστήματος του χρήστη, χωρίς την άδεια του χρήστη ή οποιαδήποτε αλληλεπίδραση.
"Αυτό σημαίνει ότι με απλή επίσκεψη σε έναν ιστότοπο, τα δεδομένα στο πρόχειρό σας ενδέχεται να αντικατασταθούν χωρίς τη συγκατάθεσή ή τη γνώση σας", δήλωσε η Malwarebytes.
Αυτό μπορεί να έχει ως αποτέλεσμα οι χρήστες να χάσουν πολύτιμα δεδομένα που μπορεί να ήθελαν να αποκόψουν και να επικολλήσουν αλλού, ενώ παράλληλα δίνουν στους εισβολείς το δικαίωμα να προσπαθήσουν να κρύψουν κακόβουλο κώδικα στο σύστημα ενός χρήστη, είπε ο προμηθευτής ασφαλείας. Το πρόβλημα σχετίζεται με την απουσία οποιασδήποτε απαίτησης στο Chrome και στο πρόγραμμα περιήγησης που βασίζεται στο Chromium για τους χρήστες να κάνουν συγκεκριμένα βήματα, όπως η χρήση "Ctrl+C" για την αντιγραφή περιεχομένου από έναν ιστότοπο στο πρόχειρο του χρήστη, είπε η Malwarebytes.
Ο ερευνητής ασφαλείας Jeff Johnson αναγνώρισε το πρόβλημα με το Chrome ως μέρος ενός ευρύτερου προβλήματος που επηρεάζει τόσο το Safari όσο και τον Firefox επισης. «Το Chrome είναι αυτή τη στιγμή ο χειρότερος παραβάτης, επειδή η απαίτηση χειρονομίας χρήστη για εγγραφή στο πρόχειρο καταστράφηκε κατά λάθος στην έκδοση 104», είπε σε μια αναφορά αυτή την εβδομάδα.
Ωστόσο, η πραγματικότητα είναι ότι οι χρήστες άλλων προγραμμάτων περιήγησης όπως ο Firefox και το Safari μπορούν να έχουν ιστοτόπους που αντικαθιστούν τα πρόχειρα του συστήματός τους πιο εύκολα από ό,τι φαντάζονται, είπε ο Johnson. Αν και και τα δύο αυτά προγράμματα περιήγησης απαιτούν από τους χρήστες να προβούν σε κάποια ενέργεια για να αντιγράψουν περιεχόμενο ιστότοπου στα πρόχειρά τους, οι ενέργειες είναι πολύ ευρύτερες από ό,τι φαντάζονται.
Για παράδειγμα, ενέργειες όπως η εστίαση σε μια οθόνη ή το πάτημα των πλήκτρων/πλήκτρων και του ποντικιού/πάνω του ποντικιού, μπορεί να έχουν ως αποτέλεσμα την αντιγραφή του περιεχομένου του ιστότοπου στο πρόχειρο χωρίς να το γνωρίζει ο χρήστης, είπε ο Τζόνσον.
Ο ερευνητής σημείωσε ότι οι προγραμματιστές του Chrome γνωρίζουν ήδη το ζήτημα και το αντιμετωπίζουν. Η Google δεν απάντησε αμέσως σε ένα αίτημα για σχολιασμό του Dark Reading.
«Οι εισβολείς μπορεί να κάνουν κατάχρηση αυτού του σφάλματος για να αντιγράψουν κακόβουλους συνδέσμους στα πρόχειρα των χρηστών, κάτι που θα μπορούσε να έχει ως αποτέλεσμα οι χρήστες να επικολλούν αυτούς τους συνδέσμους στη γραμμή διευθύνσεών τους και να έχουν πρόσβαση σε κακόβουλους ιστότοπους κατά λάθος», λέει ο Ivan Righi, ανώτερος αναλυτής απειλών στον κυβερνοχώρο στο Digital Shadows.
«Ένας άλλος τρόπος εκμετάλλευσης αυτού του σφάλματος είναι η διεξαγωγή δόλιων συναλλαγών με κρυπτονομίσματα. Οι φορείς απειλών θα μπορούσαν να αξιοποιήσουν το ελάττωμα σε συνδυασμό με επιθέσεις κοινωνικής μηχανικής για να κάνουν τους χρήστες να εισάγουν λάθος διευθύνσεις πορτοφολιού για συναλλαγές», λέει ο Righi. Ωστόσο, η πιθανότητα επιτυχιών τέτοιων επιθέσεων είναι χαμηλή επειδή οι χρήστες είναι πιθανό να παρατηρήσουν μη φυσιολογικό περιεχόμενο που τοποθετείται στο πρόχειρό τους, λέει.
Πληθώρα θεμάτων χρήσης-μετά-δωρεάν
Εν τω μεταξύ, η μοναδική κρίσιμη ευπάθεια (CVE-2022-3038) που αντιμετώπισε η Google με τη σταθερή έκδοση του Chrome 105 αναφέρθηκε από έναν ερευνητή ασφαλείας από τη δική της ομάδα κυνηγιού σφαλμάτων Project Zero: Το ελάττωμα της υπηρεσίας δικτύου Google Chrome δίνει απομακρυσμένοι εισβολείς ένας τρόπος εκτέλεσης αυθαίρετου κώδικα
ή να ενεργοποιήσετε τους όρους άρνησης παροχής υπηρεσιών στα συστήματα χρηστών, κάνοντας τους να επισκεφτούν έναν οπλισμένο ιστότοπο.
Εξωτερικοί κυνηγοί σφαλμάτων και ερευνητές ασφαλείας ανέφεραν όλα τα εναπομείναντα τρωτά σημεία που η Google αντιμετώπισε αυτή την εβδομάδα στο Chrome. Το πιο σημαντικό από αυτά φαίνεται ότι ήταν το CVE-2022-3039, μια ευπάθεια υψηλής σοβαρότητας, χωρίς χρήστες μετά την ολοκλήρωση της WebSQL, την οποία ανέφεραν στην Google δύο ερευνητές από το Ερευνητικό Ινστιτούτο Ευπάθειας της Κίνας 360. Οι ερευνητές έλαβαν 10,000 $ για την αναφορά του σφάλματος στην Google - το υψηλότερο ποσό που απονεμήθηκε στο τρέχον σύνολο.
Ένα άλλο μεγάλο ελάττωμα, χωρίς χρήση, στη Διάταξη του Chrome συγκέντρωσε 9,000 $ για τον ανώνυμο ερευνητή ασφάλειας που ανέφερε το ζήτημα στην Google. Τα bounties για τα υπόλοιπα σφάλματα κυμαίνονταν από $1,000 έως $7,500. Η Google δεν έχει ακόμη καθορίσει ανταμοιβές για τέσσερις αποκαλύψεις σφαλμάτων.
Όπως έχει γίνει η συνήθης πρακτική μεταξύ των μεγάλων προμηθευτών, η Google είπε ότι έχει περιορίσει την πρόσβαση σε λεπτομέρειες σφαλμάτων έως ότου οι περισσότεροι χρήστες έχουν την ευκαιρία να εφαρμόσουν τη νέα, σταθερή έκδοση του Chrome.
"Θα διατηρήσουμε επίσης περιορισμούς εάν το σφάλμα υπάρχει σε μια βιβλιοθήκη τρίτου μέρους από την οποία εξαρτώνται και άλλα έργα, αλλά δεν έχουν ακόμη επιδιορθωθεί." Η Google είπε σε ένα ιστολόγιο αυτή την εβδομάδα. Ένα ανώτερο στέλεχος ασφαλείας της Microsoft είχε πρόσφατα χρησιμοποιήσει τον ίδιο λόγο εξηγήστε γιατί οι αποκαλύψεις σφαλμάτων της Microsoft περιέχουν επίσης ελάχιστες λεπτομέρειες αυτές τις μέρες.
Ενώ οι διορθώσεις σφαλμάτων είναι σχεδόν σίγουρα ο κύριος λόγος για τον οποίο οι χρήστες μπορεί να θέλουν να ενημερώσουν στη σταθερή έκδοση του Chrome 105, η νέα έκδοση του προγράμματος περιήγησης εισάγει επίσης μια χούφτα πρόσθετων λειτουργιών. Αυτές περιλαμβάνουν λειτουργίες που επιτρέπουν στους προγραμματιστές να προσθέτουν κουμπί ελέγχου των παραθύρων — όπως κλείσιμο, μεγιστοποίηση ή ελαχιστοποίηση — σε προοδευτικές εφαρμογές Ιστού, ένα νέο API εικόνας σε εικόνα για το Chrome στο Android και βελτιώσεις στο API πλοήγησης του Chrome.
- blockchain
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Σκοτεινή ανάγνωση
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
