Chrome parandab 8. aasta 2022. nullpäeva – kontrollige oma versiooni kohe

Google on äsja paika pannud Chrome'i kaheksanda nullpäeva auk aasta seni.

Nullpäevad on vead, mille puhul ei olnud ühtegi päeva, mida oleks võinud ennetavalt värskendada…

…sest küberkurjategijad mitte ainult ei avastanud vea esmalt, vaid ka enne plaastri koostamist ja avaldamist mõtlesid välja, kuidas seda pahatahtlikel eesmärkidel ära kasutada.

Niisiis, selle artikli kiirversioon on järgmine: minge Chrome'i Kolme punktiga menüü (⋮), valige aitama > Teave Chrome'i kohtaja kontrollige, kas teil on versioon 107.0.5304.121 või hiljem.

Nullpäevade paljastamine

Kaks aastakümmet tagasi said nullpäevad sageli väga kiiresti laialt tuntuks, tavaliselt ühel (või mõlemal) kahest põhjusest:

• Vea ärakasutamiseks lasti välja iselevitav viirus või uss. See ei kippunud mitte ainult juhtima tähelepanu turvaaugule ja selle kuritarvitamisele, vaid tagama ka selle, et pahatahtliku koodi iseseisvad töötavad koopiad levitati teadlastele analüüsimiseks kaugele ja laiale.
• Rahateenimisest mittemotiveeritud veakütt avaldas näidiskoodi ja kiitles sellega. Paradoksaalsel kombel kahjustas see võib-olla samal ajal turvalisust, andes küberkurjategijatele „tasuta kingituse”, et neid kohe rünnakutes kasutada, ja aitas turvalisust kaasa, meelitades teadlasi ja müüjaid probleemi kiiresti parandama või lahendust leidma.

Tänapäeval on nullpäevamäng hoopis teistsugune, kuna tänapäevased kaitsemehhanismid kipuvad tarkvara haavatavusi raskemini ära kasutama.

Tänapäeva kaitsekihid hõlmavad järgmist: operatsioonisüsteemidesse endisse sisseehitatud lisakaitsed; turvalisemad tarkvaraarenduse tööriistad; turvalisemad programmeerimiskeeled ja kodeerimisstiilid; ja võimsamad küberohtude ennetamise vahendid.

Näiteks 2000. aastate alguses – ülikiiresti levivate viiruste ajastul, nagu Red Code ja SQL Slammer – peaaegu iga virna puhvri ületäitumise ja paljud, kui mitte enamiku kuhjapuhvri ületäitumised, saab muuta teoreetilistest haavatavustest kiires järjekorras teostatavateks ärakasutamisteks.

Teisisõnu, ärakasutamiste leidmine ja 0-päevade "langetamine" oli mõnikord peaaegu sama lihtne kui algvea leidmine.

Ja paljud kasutajad töötavad koos Administrator kogu aeg privileege, nii tööl kui ka kodus, pidid ründajad harva leidma viise, kuidas aheldada ärakasutusi, et nakatunud arvuti täielikult üle võtta.

Kuid 2020. aastatel toimiv koodi kaugkäitamise ärakasutamine – vigu (või vigade ahelaid), mida ründaja saab usaldusväärselt kasutada pahavara arvutisse siirdamiseks, meelitades teid nägema näiteks ühte lehte mõrastunud veebisaidil – on üldiselt palju raskem leida ja need on palju väärt. selle tulemusena rohkem raha küberpõrandasse.

Lihtsamalt öeldes ei kipu need, kes tänapäeval nullpäeva rünnakuid kätte saavad, nendega enam kiidelda.

Samuti kalduvad nad mitte kasutama neid rünnakutes, mis muudaksid sissetungi "kuidas ja miks" ilmselgeks või mis viiksid selleni, et ärakasutamiskoodi töötavad näidised muutuvad analüüsiks ja uurimiseks hõlpsasti kättesaadavaks.

Seetõttu märgatakse nullpäeva sageli alles pärast seda, kui ohule reageerimise meeskond kutsutakse uurima rünnakut, mis on juba õnnestunud, kuid kus tavalised sissetungimismeetodid (nt andmepüügi paroolid, puuduvad paigad või unustatud serverid) ei tundu olevat on olnud põhjuseks.

Puhvri ülevool paljastatud

Sel juhul nüüd ametlikult määratud CVE-2022-4135, viga teatati Google'i enda ohuanalüüsi rühm, kuid seda ei leitud ennetavalt, kuna Google tunnistab, et see on "teadlik, et looduses eksisteerib ärakasutamine."

Haavatavus on antud a Suur raskusaste ja seda kirjeldatakse lihtsalt järgmiselt: Kuhja puhvri ületäitumine GPU-s.

Puhvri ületäitumine tähendab üldiselt seda, et programmi ühest osast pärit kood kirjutab väljaspool talle ametlikult eraldatud mäluplokke ja tallab andmetele, millele hiljem tugineb (ja mida seetõttu kaudselt usaldab) mõni muu programmiosa.

Nagu võite ette kujutada, võib paljugi valesti minna, kui puhvri ületäitumist saab vallandada kaval viisil, mis väldib kohest programmi krahhi.

Ületäitmist saab kasutada näiteks failinime mürgitamiseks, mida mõni muu programmi osa hakkab kasutama, pannes selle andmeid kirjutama sinna, kus see ei peaks olema; või võrguühenduse sihtkoha muutmiseks; või isegi muuta asukohta mälus, kust programm järgmisena koodi käivitab.

Google ei ütle selgesõnaliselt, kuidas seda viga saaks (või on) ära kasutada, kuid on mõistlik eeldada, et mingisugune koodi kaugkäivitamine, mis on suures osas sünonüüm "pahavara varjatud siirdamisele", on võimalik, arvestades, et viga hõlmab mälu valesti haldamist.

Mida teha?

Chrome'i ja Chromiumi värskendatakse 107.0.5304.121 Macis ja Linuxis ning 107.0.5304.121 or 107.0.5304.122 Windowsis (ei, me ei tea, miks on kaks erinevat versiooni), seega kontrollige kindlasti, kas teil on nende versiooninumbrid samad või uuemad.

Chrome'i versiooni kontrollimiseks ja värskenduse sundimiseks, kui olete maha jäänud, minge lehele Kolme punktiga menüü (⋮) ja valige aitama > Teave Chrome'i kohta.

Microsoft Edge, nagu te ilmselt teate, põhineb Chromiumi koodil (Chrome'i avatud lähtekoodiga tuum), kuid sellel pole olnud ametlikku värskendust alates päevast enne seda, kui Google'i ohuuurijad selle vea logisid (ja pole värskendust saanud mis loetleb selgesõnaliselt kõik turvaparandused alates 2022-11-10).

Nii et me ei saa teile öelda, kas Edge on mõjutatud või kas peaksite selle vea jaoks värskendust ootama, kuid soovitame hoida silma peal Microsofti ametlikud pressiteated igaks juhuks.

---