גוגל פרסמה עדכון דחוף לטפל בפגיעות שהתגלתה לאחרונה ב-Chrome שנמצאה תחת ניצול פעיל בטבע, ומציינת את הפגיעות השמינית של יום אפס שזוהתה עבור הדפדפן ב-2023.
מזוהה כ CVE-2023-7024, גוגל אמרה שהפגיעות היא פגם משמעותי בהצפת חיץ בערימה במודול WebRTC של Chrome המאפשר ביצוע קוד מרחוק (RCE).
WebRTC היא יוזמת קוד פתוח המאפשרת תקשורת בזמן אמת באמצעות ממשקי API, ונהנית מתמיכה רחבה בקרב יצרניות הדפדפנים המובילות.
כיצד CVE-2023-7024 מאיים על משתמשי Chrome
ליונל ליטי, ארכיטקט אבטחה ראשי ב-Menlo Security, מסביר שסיכון מניצול הוא היכולת להשיג RCE בתהליך העיבוד. המשמעות היא ששחקן גרוע יכול להריץ קוד בינארי שרירותי על המחשב של המשתמש, מחוץ לארגז החול של JavaScript.
עם זאת, נזק אמיתי מסתמך על שימוש בבאג כשלב הראשון בשרשרת ניצול; זה צריך להיות משולב עם פגיעות בריחה של ארגז חול בכרום עצמו או במערכת ההפעלה כדי להיות מסוכן באמת.
"עם זאת, הקוד הזה עדיין בארגז חול בגלל ארכיטקטורת ריבוי התהליכים של Chrome", אומרת ליטי, "אז רק עם הפגיעות הזו, תוקף לא יכול לגשת לקבצים של המשתמש או להתחיל לפרוס תוכנות זדוניות, ודריסת הרגל שלו על המחשב נעלמת כשהכרטיסייה המושפעת היא סָגוּר."
הוא מציין שהתכונה של בידוד אתרים של Chrome תגן בדרך כלל על נתונים מאתרים אחרים, כך שתוקף לא יכול למקד את המידע הבנקאי של הקורבן, למרות שהוא מוסיף שיש כאן כמה אזהרות עדינות.
לדוגמה, זה יחשוף מקור יעד למקור הזדוני אם הם משתמשים באותו אתר: במילים אחרות, malicious.shared.com היפותטי יכול למקד לvictim.shared.com.
"למרות שגישה למיקרופון או למצלמה מצריכה הסכמת המשתמש, הגישה ל-WebRTC עצמה לא עושה זאת", מסבירה ליטי. "ייתכן שפגיעות זו יכולה להיות ממוקדת על ידי כל אתר מבלי לדרוש שום קלט משתמש מעבר לביקור בדף הזדוני, כך שמנקודת מבט זו האיום הוא משמעותי."
אוברי פרין, מנתחת מודיעין איומים מובילה ב-Qualys Threat Research Unit, מציינת כי טווח ההגעה של הבאג משתרע מעבר ל-Google Chrome.
"הניצול של Chrome קשור להימצאות שלו בכל מקום - אפילו Microsoft Edge משתמשת ב-Chromium", הוא אומר. "לכן, ניצול Chrome עשוי גם למקד למשתמשי Edge ולאפשר לשחקנים רעים טווח רחב יותר."
ויש לציין שלמכשירי Android הניידים המשתמשים בכרום יש פרופיל סיכון משלהם; הם מכניסים אתרים מרובים לאותו תהליך עיבוד בתרחישים מסוימים, במיוחד במכשירים שאין להם הרבה זיכרון RAM.
דפדפנים נשארים יעד מוביל להתקפות סייבר
ספקי דפדפנים גדולים דיווחו לאחרונה על מספר הולך וגדל של באגים של יום אפס - גוגל לבדה דיווחה חמישה מאז אוגוסט.
אפל, מיקרוסופט ופיירפוקס הן בין האחרות שחשפו א סדרה של פגיעויות קריטיות בדפדפנים שלהם, כולל כמה ימים אפס.
ג'וזף קרסון, מדען אבטחה ראשי ו-CISO מייעץ ב-Delinea, אומר שזה לא מפתיע שהאקרים ופושעי סייבר בחסות הממשלה מכוונים לתוכנה הפופולרית, ומחפשים כל הזמן נקודות תורפה לניצול.
"זה מוביל בדרך כלל למשטח תקיפה גדול יותר בגלל השימוש הנרחב בתוכנה, פלטפורמות מרובות, מטרות בעלות ערך גבוה, ובדרך כלל פותח את הדלת להתקפות שרשרת האספקה", הוא אומר.
הוא מציין שסוגים אלה של פגיעויות לוקח זמן למשתמשים רבים לעדכן ולתקן מערכות פגיעות.
"לכן, כנראה שתוקפים יתמקדו במערכות הפגיעות הללו במשך חודשים רבים קדימה", אומר קרסון.
הוא מוסיף, "מכיוון שהפגיעות הזו מנוצלת באופן פעיל, סביר להניח שמשמעות הדבר היא שמערכות משתמשים רבות כבר נפגעו ויהיה חשוב להיות מסוגל לזהות מכשירים שהוכוונו ולתקן במהירות את המערכות הללו".
כתוצאה מכך, מציין קרסון, ארגונים צריכים לחקור מערכות רגישות עם פגיעות זו כדי לקבוע סיכונים או השפעה מהותית אפשרית.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cloud-security/google-eighth-zero-day-patch-2023-chrome
- :יש ל
- :הוא
- :לֹא
- 2023
- 7
- a
- יכולת
- יכול
- גישה
- להשיג
- פעיל
- באופן פעיל
- שחקנים
- כתובת
- מוסיף
- ייעוץ
- להתיר
- מאפשר
- לבד
- כְּבָר
- גם
- למרות
- בין
- an
- מנתח
- ו
- דְמוּי אָדָם
- כל
- ממשקי API
- ארכיטקטורה
- ARE
- AS
- At
- לתקוף
- המתקפות
- רָחוֹק
- רע
- בנקאות
- BE
- היה
- להיות
- מעבר
- דפדפן
- דפדפנים
- חיץ
- הצפת מאגר
- חרק
- באגים
- by
- חדר
- CAN
- לא יכול
- שרשרת
- רֹאשׁ
- Chrome
- כרום
- CISO
- סגור
- קוד
- COM
- משולב
- איך
- תקשורת
- התפשר
- הסכמה
- תמיד
- יכול
- קריטי
- התקפת סייבר
- עברייני אינטרנט
- נזק
- מסוכן
- נתונים
- פריסה
- לקבוע
- התקנים
- גילה
- do
- עושה
- דֶלֶת
- ראוי
- אדג '
- שמונה
- או
- מה שמאפשר
- לברוח
- במיוחד
- אֲפִילוּ
- דוגמה
- הוצאת להורג
- מסביר
- לנצל
- ניצול
- ומנוצל
- מנצל
- משתרע
- מאפיין
- קבצים
- Firefox
- ראשון
- פגם
- בעד
- החל מ-
- בדרך כלל
- Goes
- Google Chrome
- ממשלה
- בחסות הממשלה
- גדל
- האקרים
- יש
- he
- כאן
- HTML
- HTTPS
- מזוהה
- לזהות
- if
- פְּגִיעָה
- מושפעים
- חשוב
- in
- באחר
- כולל
- מידע
- יוזמה
- קלט
- מוֹדִיעִין
- לחקור
- בדידות
- הפיקו
- IT
- שֶׁלָה
- עצמו
- JavaScript
- jpg
- רק
- גדול יותר
- עוֹפֶרֶת
- מוביל
- מוביל
- סביר
- מגרש
- מכונה
- קובעים
- תוכנות זדוניות
- רב
- סימון
- חוֹמֶר
- אומר
- מיקרופון
- מיקרוסופט
- אדג מיקרוסופט
- סלולרי
- מכשירים ניידים
- מודול
- חודשים
- מספר
- צרכי
- לא
- ציין
- הערות
- מספר
- of
- on
- לפתוח
- קוד פתוח
- נפתח
- or
- ארגונים
- מקור
- OS
- אחר
- אחרים
- הַחוּצָה
- בחוץ
- שֶׁלוֹ
- עמוד
- תיקון
- פרספקטיבה
- פלטפורמות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- נקודות
- פופולרי
- אפשרי
- פוטנציאל
- פוטנציאל
- תהליך
- פּרוֹפִיל
- להגן
- גם
- מהירות
- RAM
- לְהַגִיעַ
- ממשי
- זמן אמת
- לאחרונה
- עיתונות
- להשאר
- מרחוק
- דווח
- דורש
- מחקר
- תוצאה
- הסיכון
- סיכונים
- הפעלה
- s
- אמר
- אותו
- ארגז חול
- אומר
- תרחישים
- מַדְעָן
- חיפוש
- אבטחה
- רגיש
- משותף
- צריך
- משמעותי
- since
- אתר
- אתרים
- So
- תוכנה
- כמה
- מָקוֹר
- ממומן
- התחלה
- שלב
- עוד
- לספק
- שרשרת אספקה
- תמיכה
- משטח
- הפתעה
- מערכות
- לקחת
- יעד
- ממוקד
- מטרות
- זֶה
- השמיים
- שֶׁלָהֶם
- שם.
- לכן
- אלה
- הֵם
- זֶה
- אלה
- אם כי?
- איום
- מאיים
- דרך
- קָשׁוּר
- זמן
- ל
- חלק עליון
- באמת
- סוגים
- בדרך כלל
- תחת
- יחידה
- עדכון
- דחוף
- נוֹהָג
- להשתמש
- משתמש
- משתמשים
- שימושים
- באמצעות
- בְּדֶרֶך כְּלַל
- ספקים
- קרבן
- פגיעויות
- פגיעות
- פגיע
- אתר
- מתי
- בזמן
- רחב יותר
- נָפוֹץ
- בר
- יצטרך
- עם
- בתוך
- לְלֹא
- מילים
- היה
- זפירנט
