Google ha appena patchato l'ottavo di Chrome buco zero-day dell'anno finora.
Gli zero giorni sono bug per i quali c'erano zero giorni che avresti potuto aggiornare in modo proattivo...
…perché i criminali informatici non solo hanno trovato per primi il bug, ma hanno anche capito come sfruttarlo per scopi nefasti prima che una patch fosse preparata e pubblicata.
Quindi, la versione rapida di questo articolo è: vai su Chrome Menù a tre punti (⋮), scegli Aiuto > Informazioni su Chromee controlla di avere version 107.0.5304.121 o dopo.
Alla scoperta dei giorni zero
Due decenni fa, i giorni zero sono diventati ampiamente conosciuti molto rapidamente, in genere per uno (o entrambi) dei due motivi:
- Per sfruttare il bug è stato rilasciato un virus o un worm autodiffondante. Ciò tendeva non solo ad attirare l'attenzione sulla falla di sicurezza e sul modo in cui veniva abusata, ma anche a garantire che copie funzionanti e autonome del codice dannoso venissero fatte esplodere in lungo e in largo affinché i ricercatori potessero analizzarle.
- Un cacciatore di bug non motivato dal fare soldi ha rilasciato un codice di esempio e se ne è vantato. Paradossalmente, forse, questo ha contemporaneamente danneggiato la sicurezza offrendo un "regalo gratuito" ai criminali informatici da utilizzare immediatamente negli attacchi e ha aiutato la sicurezza attirando ricercatori e fornitori per risolverlo o trovare rapidamente una soluzione alternativa.
Al giorno d'oggi, il gioco zero-day è piuttosto diverso, perché le difese contemporanee tendono a rendere le vulnerabilità del software più difficili da sfruttare.
I livelli difensivi odierni includono: protezioni aggiuntive integrate nei sistemi operativi stessi; strumenti di sviluppo software più sicuri; linguaggi di programmazione e stili di codifica più sicuri; e più potenti strumenti di prevenzione delle minacce informatiche.
Nei primi anni 2000, ad esempio, l'era dei virus a diffusione super rapida come Codice rosso e SQL Slammer: quasi tutti gli overflow del buffer dello stack e molti, se non la maggior parte degli overflow del buffer dell'heap, potrebbero essere trasformati da vulnerabilità teoriche in exploit praticabili in rapido ordine.
In altre parole, trovare exploit e "eliminare" 0 giorni a volte era semplice quasi quanto trovare il bug sottostante in primo luogo.
E con molti utenti che corrono con Administrator privilegi sempre, sia al lavoro che a casa, gli aggressori raramente avevano bisogno di trovare il modo di concatenare gli exploit per impossessarsi completamente di un computer infetto.
Ma negli anni '2020, realizzabile exploit di esecuzione di codice in modalità remota – bug (o catene di bug) che un utente malintenzionato può utilizzare in modo affidabile per impiantare malware sul tuo computer semplicemente attirandoti a visualizzare una singola pagina su un sito Web con trappole esplosive, ad esempio – sono generalmente molto più difficili da trovare e valgono molto di conseguenza più soldi nel cyberunderground.
In poche parole, coloro che si impossessano di exploit zero-day in questi giorni tendono a non vantarsene più.
Tendono inoltre a non utilizzarli in attacchi che renderebbero ovvio il "come e perché" dell'intrusione o che renderebbero prontamente disponibili campioni funzionanti del codice di exploit per l'analisi e la ricerca.
Di conseguenza, gli zero-day spesso vengono notati in questi giorni solo dopo che un team di risposta alle minacce viene chiamato a indagare su un attacco che è già riuscito, ma dove i comuni metodi di intrusione (ad esempio password di phishing, patch mancanti o server dimenticati) non sembrano sono state la causa.
Overflow del buffer esposto
In questo caso, ora ufficialmente designato CVE-2022-4135, il bug è stato riportato dal gruppo di analisi delle minacce di Google, ma non è stato trovato in modo proattivo, dato che Google ammette di esserlo "consapevole che un exploit [...] esiste in natura."
La vulnerabilità è stata assegnata a Alta gravità, ed è descritto semplicemente come: Overflow del buffer dell'heap nella GPU.
Gli overflow del buffer generalmente indicano che il codice di una parte di un programma scrive al di fuori dei blocchi di memoria ufficialmente allocati ad esso e calpesta i dati su cui in seguito si farà affidamento (e quindi sarà implicitamente attendibile) da qualche altra parte del programma.
Come puoi immaginare, c'è molto che può andare storto se un overflow del buffer può essere attivato in un modo subdolo che evita un crash immediato del programma.
L'overflow potrebbe essere utilizzato, ad esempio, per avvelenare un nome di file che un'altra parte del programma sta per utilizzare, facendogli scrivere dati dove non dovrebbe; o per modificare la destinazione di una connessione di rete; o anche per cambiare la posizione in memoria da cui il programma eseguirà il codice successivo.
Google non dice esplicitamente come questo bug potrebbe essere (o è stato) sfruttato, ma è saggio presumere che sia possibile una sorta di esecuzione di codice remoto, che è in gran parte sinonimo di "impianto surrettizio di malware", dato che il bug comporta una cattiva gestione della memoria.
Cosa fare?
Chrome e Chromium vengono aggiornati a 107.0.5304.121 su Mac e Linux e a 107.0.5304.121 or 107.0.5304.122 su Windows (no, non sappiamo perché ci sono due versioni diverse), quindi assicurati di avere numeri di versione uguali o più recenti di quelli.
Per controllare la tua versione di Chrome e forzare un aggiornamento se sei indietro, vai al Menù a tre punti (⋮) e scegli Aiuto > Informazioni su Chrome.
Microsoft Edge, come probabilmente saprai, si basa sul codice Chromium (il core open source di Chrome), ma non ha avuto un aggiornamento ufficiale dal giorno prima che i ricercatori delle minacce di Google registrassero questo bug (e non ha avuto un aggiornamento che elenca esplicitamente eventuali correzioni di sicurezza dal 2022-11-10).
Quindi, non possiamo dirti se Edge è interessato o se dovresti aspettarti un aggiornamento per questo bug, ma ti consigliamo di tenere d'occhio Microsoft note di rilascio ufficiali nel caso in cui.
- blockchain
- Chrome
- geniale
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- bordo
- firewall
- Google Chrome
- Kaspersky
- il malware
- Mcafee
- Microsoft Edge
- Sicurezza nuda
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- vulnerabilità
- sicurezza del sito Web
- zefiro
- Zero Day
![S3 Ep122: Smettila di chiamare ogni violazione "sofisticata"! [Audio + testo]](https://platoblockchain.com/wp-content/uploads/2023/02/s3-ep122-stop-calling-every-breach-sophisticated-audio-text-300x145.png "S3 Ep122: Smettila di chiamare ogni violazione \"sofisticata\"! [Audio + testo]")
![S3 Ep111: Il rischio aziendale di uno squallido "filtro per nudità" [Audio + Testo] PlatoBlockchain Data Intelligence. Ricerca verticale. Ai.](https://platoblockchain.com/wp-content/uploads/2022/08/bn-1200-2-300x157.png "S3 Ep111: Il rischio aziendale di uno squallido \"nudity unfilter\" [Audio + Testo]")
