Chrome korjaa vuoden 8 2022. nollapäivän – tarkista versiosi nyt

Google on juuri korjannut Chromen kahdeksannen nollapäivän reikä vuoden tähän mennessä.

Nollapäivät ovat bugeja, joille ei ollut nollaa päivää, jonka olisit voinut päivittää ennakoivasti…

…koska kyberrikolliset eivät vain löytäneet virhettä ensin, vaan myös keksineet kuinka hyödyntää sitä ilkeisiin tarkoituksiin, ennen kuin korjaustiedosto valmistettiin ja julkaistiin.

Tämän artikkelin pikaversio on siis: siirry Chromeen Kolmen pisteen valikko (⋮), valitse Apu: > Tietoja Chromesta, ja tarkista, että sinulla on versio 107.0.5304.121 tai uudempi.

Nollapäivien paljastaminen

Kaksi vuosikymmentä sitten nollapäivät tulivat usein laajalti tunnetuiksi hyvin nopeasti, tyypillisesti yhdestä (tai molemmista) kahdesta syystä:

• Itseleviävä virus tai mato julkaistiin vian hyödyntämiseksi. Tämä ei ainoastaan ​​kiinnittänyt huomiota tietoturva-aukkoon ja sen väärinkäyttöön, vaan myös varmistamaan, että haitallisen koodin itsenäiset, toimivat kopiot räjäytettiin kauas tutkijoiden analysoitavaksi.
• Vianmetsästäjä, joka ei ollut motivoitunut ansaitsemaan rahaa, julkaisi mallikoodin ja kehui siitä. Paradoksaalista kyllä, ehkä tämä vahingoitti samalla turvallisuutta antamalla "ilmaisen lahjan" kyberrikollisille heti hyökkäyksiin käytettäväksi, ja auttoi turvallisuutta houkuttelemalla tutkijoita ja myyjiä korjaamaan ongelman tai keksimään kiertotavan nopeasti.

Nykyään nollapäiväpeli on melko erilainen, koska nykyiset puolustukset tekevät ohjelmistojen haavoittuvuuksista vaikeampaa hyödyntää.

Nykypäivän suojakerroksia ovat: itse käyttöjärjestelmiin sisäänrakennetut lisäsuojaukset; turvallisemmat ohjelmistokehitystyökalut; turvallisemmat ohjelmointikielet ja koodaustyylit; ja tehokkaampia kyberuhkien ehkäisytyökaluja.

Esimerkiksi 2000-luvun alussa – supernopeasti leviävien virusten, kuten esim. Koodi Punainen ja SQL Slammer – melkein mikä tahansa pinopuskurin ylivuoto ja monet elleivät useimmat keon puskurin ylivuodot voidaan muuttaa teoreettisista haavoittuvuuksista käytännöllisiksi hyväksikäytöiksi nopeassa järjestyksessä.

Toisin sanoen hyväksikäyttöjen löytäminen ja 0-päivien "pudottaminen" oli joskus melkein yhtä helppoa kuin taustalla olevan bugin löytäminen.

Ja monet käyttäjät käyttävät Administrator Hyökkääjien täytyi harvoin löytää tapoja ketjuttaa hyväksikäytöt yhteen saadakseen tartunnan saaneen tietokoneen kokonaan haltuunsa.

Mutta 2020-luvulla toimiva koodin etäsuorittamisen hyväksikäyttöä – bugit (tai virheketjut), joita hyökkääjä voi luotettavasti käyttää haittaohjelmien istuttamiseen tietokoneellesi pelkästään houkuttelemalla sinut esimerkiksi katsomaan yhtä sivua huijareissa olevalla verkkosivustolla – ovat yleensä paljon vaikeampia löytää ja ovat paljon arvokkaita. tämän seurauksena enemmän rahaa cyberundergroundissa.

Yksinkertaisesti sanottuna ne, jotka saavat käsiinsä nollapäivän hyökkäyksiä nykyään, eivät yleensä kehuskele niistä enää.

He eivät myöskään yleensä käytä niitä hyökkäyksissä, jotka tekisivät tunkeutumisen "miten ja miksi" selväksi tai johtaisivat siihen, että hyväksikäyttökoodin toimivia näytteitä tulee helposti saataville analysointia ja tutkimusta varten.

Tämän seurauksena nollapäivät huomataan usein näinä päivinä vasta sen jälkeen, kun uhkien torjuntaryhmä kutsutaan tutkimaan hyökkäystä, joka on jo onnistunut, mutta joissa yleiset tunkeutumismenetelmät (esim. kalastellaantut salasanat, puuttuvat korjaustiedostot tai unohdetut palvelimet) eivät näytä toimivan ovat olleet syynä.

Puskurin ylivuoto paljastettu

Tässä tapauksessa nyt virallisesti nimetty CVE-2022-4135, vika raportoitiin Googlen oma Threat Analysis Group, mutta sitä ei löydetty ennakoivasti, koska Google myöntää, että se on "tietoinen, että luonnossa on hyväksikäyttöä."

Haavoittuvuus on annettu a Korkea vakavuus, ja sitä kuvataan yksinkertaisesti seuraavasti: Kasan puskurin ylivuoto GPU:ssa.

Puskurin ylivuodot tarkoittavat yleensä sitä, että ohjelman yhdestä osasta peräisin oleva koodi kirjoittaa sille virallisesti varattujen muistilohkojen ulkopuolelle ja polkee dataa, johon ohjelman jokin muu osa myöhemmin luottaa (ja johon näin ollen implisiittisesti luotetaan).

Kuten voit kuvitella, paljon voi mennä pieleen, jos puskurin ylivuoto voidaan laukaista kieroutuneella tavalla, joka välttää välittömän ohjelman kaatumisen.

Ylivuotoa voidaan käyttää esimerkiksi myrkyttämään tiedostonimi, jota jokin muu ohjelman osa aikoo käyttää, jolloin se kirjoittaa tietoja paikkoihin, joissa sen ei pitäisi; tai muuttaa verkkoyhteyden kohdetta; tai jopa muuttaa muistipaikkaa, josta ohjelma suorittaa koodin seuraavaksi.

Google ei kerro nimenomaisesti, kuinka tätä vikaa voitaisiin (tai on) hyödynnetty, mutta on viisasta olettaa, että jonkinlainen koodin etäsuoritus, joka on suurelta osin synonyymi "haittaohjelmien piilolle lisäämiselle", on mahdollista, kun otetaan huomioon, että virhe liittyy muistin huonoon hallintaan.

Mitä tehdä?

Chrome ja Chromium päivitetään 107.0.5304.121 Macissa ja Linuxissa ja 107.0.5304.121 or 107.0.5304.122 Windowsissa (ei, emme tiedä, miksi on olemassa kaksi eri versiota), joten varmista, että sinulla on samat tai uudemmat versionumerot.

Jos haluat tarkistaa Chrome-versiosi ja pakottaa päivityksen, jos olet jäljessä, siirry kohtaan Kolmen pisteen valikko (⋮) ja valitse Apu: > Tietoja Chromesta.

Microsoft Edge, kuten luultavasti tiedät, perustuu Chromium-koodiin (Chromen avoimen lähdekoodin ydin), mutta sillä ei ole ollut virallista päivitystä sen päivän jälkeen ennen kuin Googlen uhkatutkijat kirjasivat tämän virheen (eikä ole saanut päivitystä joka luettelee nimenomaisesti kaikki tietoturvakorjaukset 2022-11-10 jälkeen).

Emme siis voi kertoa, vaikuttaako tämä Edgeen vai pitäisikö sinun odottaa päivitystä tähän bugiin, mutta suosittelemme, että pidät silmällä Microsoftin viralliset julkaisutiedot varmuuden vuoksi.

---