Googlen ensimmäinen vakaa kanavaversio Chrome 105:stä Windowsille, Macille ja Linuxille, joka julkaistiin tällä viikolla, sisälsi korjauksia 24 haavoittuvuuteen ohjelmiston aikaisemmissa versioissa, mukaan lukien yksi "kriittinen" virhe ja kahdeksan, jotka yritys arvioi "korkeaksi". vakavuus.
Useat – yhdeksän – tietoturvaongelmista, jotka Google ratkaisi Chrome 105:n kanssa, oli niin kutsuttuja use-after-free-haavoittuvuuksia tai puutteita, joiden avulla hyökkääjät voivat käyttää aiemmin vapautettua muistitilaa haitallisen koodin suorittamiseen, tietojen vioittamiseen ja muihin haitallisiin toimiin. . Neljä korjatuista haavoittuvuuksista oli puskurin ylivuotoja useissa Chromen komponenteissa, mukaan lukien WebUI ja Screen Capture.
Hyökkääjät käyttävät usein puskurin ylivuotoa hyväkseen useisiin haitallisiin tarkoituksiin, kuten satunnaisen koodin suorittamiseen, tietojen päällekirjoittamiseen, järjestelmien kaatumiseen ja palvelunestoehtojen käynnistämiseen.
Leikepöydän päällekirjoitus
Yksi ongelma, jota Google ei näytä korjaaneen päivityskeskuksissa leikepöydän ympärillä. Malwarebytesin mukaan kun Google Chromen – tai minkä tahansa Chromium-pohjaisen selaimen – käyttäjät vierailevat verkkosivustolla, sivusto voi työntää minkä tahansa haluamansa sisällön käyttäjän käyttöjärjestelmän leikepöydälle, ilman käyttäjän lupaa tai mitään vuorovaikutusta.
"Tämä tarkoittaa, että kun vierailet verkkosivustolla, leikepöydälläsi olevat tiedot voidaan ylikirjoittaa ilman suostumustasi tai tietämättäsi", Malwarebytes sanoi.
Tämä voi johtaa siihen, että käyttäjät menettävät arvokkaita tietoja, jotka he olisivat halunneet leikata ja liittää muualle, samalla kun hyökkääjät voivat yrittää hiipiä haitallista koodia käyttäjän järjestelmään, tietoturvatoimittaja sanoi. Ongelma liittyy siihen, että Chrome- ja Chromium-pohjaisissa selaimissa ei vaadita käyttäjiä suorittamaan tiettyjä toimenpiteitä, kuten "Ctrl+C"-näppäimiä kopioimaan sisältöä verkkosivustolta käyttäjän leikepöydälle, Malwarebytes sanoi.
Tietoturvatutkija Jeff Johnson tunnisti Chromen ongelman osaksi laajempaa ongelmaa joka vaikuttaa sekä Safariin että Firefoxiin yhtä hyvin. "Chrome on tällä hetkellä pahin loukkaaja, koska leikepöydälle kirjoittamisen käyttäjän elevaatimus rikottiin vahingossa versiossa 104", hän sanoi raportissa tällä viikolla.
Tosiasia on kuitenkin, että muiden selainten, kuten Firefoxin ja Safarin, käyttäjät voivat saada verkkosivustojen päällekirjoittamaan järjestelmän leikepöydät helpommin kuin he ymmärtävät, Johnson sanoi. Vaikka molemmat selaimet vaativat käyttäjiltä joitain toimia kopioidakseen verkkosivuston sisältöä leikepöydälle, toiminnot ovat paljon laajempia kuin he voisivat kuvitella.
Esimerkiksi toiminnot, kuten näytölle keskittyminen tai näppäinten/näppäinten ja hiiren alas/hiiri ylös painaminen, voivat johtaa siihen, että verkkosivuston sisältö kopioidaan leikepöydälle käyttäjän tietämättä, Johnson sanoi.
Tutkija totesi, että Chromen kehittäjät ovat jo tietoisia ongelmasta ja puuttuvat siihen. Google ei vastannut välittömästi Dark Readingin kommenttipyyntöön.
"Hyökkääjät voivat käyttää tätä virhettä väärin kopioidakseen haitallisia linkkejä käyttäjien leikepöydälle, mikä voi johtaa siihen, että käyttäjät liittävät linkit osoitepalkkiinsa ja pääsevät vahingossa haitallisille sivustoille", sanoo Ivan Righi, Digital Shadowsin vanhempi kyberuhkien analyytikko.
"Toinen tapa hyödyntää tätä vikaa on suorittaa vilpillisiä kryptovaluuttatransaktioita. Uhkatoimijat voivat hyödyntää virhettä sosiaalisten manipulointihyökkäuksien yhteydessä saadakseen käyttäjät syöttämään vääriä lompakkoosoitteita tapahtumia varten, Righi sanoo. Tällaisten hyökkäysten onnistumisen todennäköisyys on kuitenkin pieni, koska käyttäjät huomaavat todennäköisesti leikepöydälle sijoitetun epänormaalin sisällön, hän sanoo.
Lukuisia käytön jälkeen ilmaisia ongelmia
Samaan aikaan ainoan kriittisen haavoittuvuuden (CVE-2022-3038), jonka Google ratkaisi Chrome 105:n vakaalla versiolla, ilmoitti oman Project Zero -vianetsintätiiminsä tietoturvatutkija: Google Chrome -verkkopalvelun käytön jälkeinen virhe antaa etähyökkääjät tapa suorittaa mielivaltaista koodia
tai käynnistää palvelunestoehdot käyttäjäjärjestelmissä saamalla heidät vierailemaan aseistetulla verkkosivustolla.
Ulkopuoliset vianmetsästäjät ja tietoturvatutkijat ilmoittivat kaikista jäljellä olevista haavoittuvuuksista, jotka Google ratkaisi tällä viikolla Chromessa. Vaikuttavin niistä näyttää olleen CVE-2022-3039, erittäin vakava, käyttäjän jälkeen vapaa WebSQL-haavoittuvuus, jonka kaksi Kiinan 360 Vulnerability Research Instituten tutkijaa ilmoitti Googlelle. Tutkijat saivat 10,000 XNUMX dollaria virheen ilmoittamisesta Googlelle, mikä on suurin nykyisessä sarjassa myönnetty summa.
Toinen Chrome Layoutin merkittävä ja käyttökelvoton puute keräsi 9,000 1,000 dollaria anonyymille tietoturvatutkijalle, joka ilmoitti ongelmasta Googlelle. Palkkiot jäljellä olevista virheistä vaihtelivat 7,500 XNUMX dollarista XNUMX XNUMX dollariin. Google ei ole vielä päättänyt palkintoja neljästä virheilmoituksesta.
Kuten suurten toimittajien keskuudessa on yleistynyt, Google sanoi, että se on rajoittanut pääsyä virhetietoihin, kunnes useimmilla käyttäjillä on mahdollisuus ottaa käyttöön uusi, vakaa versio Chromesta.
"Säilytämme myös rajoitukset, jos virhe esiintyy kolmannen osapuolen kirjastossa, josta muut projektit vastaavasti riippuvat, mutta joita ei ole vielä korjattu." Google sanoi blogissaan tällä viikolla. Eräs Microsoftin vanhempi tietoturvajohtaja oli äskettäin käyttänyt samaa syytä selittää, miksi Microsoftin virheilmoitukset sisältävät myös niukasti yksityiskohtia näinä päivinä.
Vaikka virheenkorjaukset ovat lähes varmasti ensisijainen syy, miksi käyttäjät saattavat haluta päivittää Chrome 105:n vakaaseen versioon, uusi selainversio sisältää myös kourallisen lisäominaisuuksia. Nämä sisältävät ominaisuuksia, joiden avulla kehittäjät voivat lisätä Windows-ohjauspainikkeita – kuten sulkemisen, suurentamisen tai pienentämisen – progressiivisiin verkkosovelluksiin, uusi kuva kuvassa -sovellusliittymä Chromen Android-käyttöjärjestelmälle ja parannuksia Chromen navigointisovellusliittymään.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
