Google は、Chrome で最近発見され、実際に悪用されている脆弱性に対処するための緊急アップデートを発行しました。これは、2023 年にこのブラウザで確認された XNUMX 番目のゼロデイ脆弱性となります。
として識別 CVE-2023-7024, Googleは、この脆弱性はリモートコード実行(RCE)を可能にするChromeのWebRTCモジュール内の重大なヒープバッファオーバーフローの欠陥であると述べた。
WebRTC は、API を介したリアルタイム通信を可能にするオープンソースの取り組みであり、主要なブラウザ メーカーの間で広くサポートされています。
CVE-2023-7024 が Chrome ユーザーを脅かす仕組み
Menlo Security のチーフ セキュリティ アーキテクトである Lionel Litty 氏は、悪用によるリスクはレンダラー プロセスで RCE を達成できることであると説明しています。これは、悪意のある者が JavaScript サンドボックスの外でユーザーのマシン上で任意のバイナリ コードを実行できることを意味します。
ただし、実際の被害は、エクスプロイト チェーンの最初のステップとしてバグを使用するかどうかにかかっています。本当に危険にするには、Chrome 自体または OS のサンドボックス エスケープの脆弱性と組み合わせる必要があります。
「ただし、Chrome のマルチプロセス アーキテクチャにより、このコードはまだサンドボックス化されています」と Litty 氏は言います。「したがって、この脆弱性だけで、攻撃者はユーザーのファイルにアクセスしたり、マルウェアの展開を開始したりすることはできず、影響を受けるタブが削除されると、マシン上での足場が失われます。閉まっている。"
同氏は、Chrome のサイト分離機能は通常、他のサイトからのデータを保護するため、攻撃者が被害者の銀行情報を狙うことはできないと指摘していますが、ここには微妙な注意点があると付け加えています。
たとえば、同じサイトを使用している場合、ターゲットのオリジンが悪意のあるオリジンにさらされることになります。言い換えれば、仮想の malicious.shared.com は、victim.shared.com をターゲットにすることができます。
「マイクやカメラへのアクセスにはユーザーの同意が必要ですが、WebRTC 自体へのアクセスには必要ありません」と Litty 氏は説明します。 「この脆弱性は、悪意のあるページにアクセスする以外のユーザー入力を必要とせずに、どの Web サイトでも標的にされる可能性があります。そのため、この観点から見ると、脅威は重大です。」
Qualys Threat Research Unit の主任脅威インテリジェンス アナリストである Aubrey Perin 氏は、このバグの影響範囲は Google Chrome を超えていると指摘しています。
「Chrome の悪用はその遍在性と結びついており、Microsoft Edge でさえ Chromium を使用しています」と彼は言います。 「そのため、Chrome を悪用すると、Edge ユーザーがターゲットとなり、悪意のある攻撃者がより広範囲に侵入できるようになる可能性があります。」
また、Chrome を使用する Android モバイル デバイスには独自のリスク プロファイルがあることに注意してください。一部のシナリオでは、特に RAM があまり搭載されていないデバイスでは、複数のサイトが同じレンダラー プロセスに配置されます。
ブラウザは依然としてサイバー攻撃の最大の標的
大手ブラウザ ベンダーは最近、ゼロデイ バグの増加を報告しています - Google だけが報告しています XNUMX月以来XNUMX回.
Apple、Microsoft、Firefox などは、 一連の重大な脆弱性 一部のゼロデイも含めてブラウザで。
Delinea の主任セキュリティ サイエンティスト兼アドバイザリー CISO であるジョセフ・カーソン氏は、政府支援のハッカーやサイバー犯罪者が人気のソフトウェアをターゲットにし、悪用できる脆弱性を常に探しているのは驚くべきことではないと述べています。
「これは通常、ソフトウェアの広範な使用、複数のプラットフォーム、高価値の標的により攻撃対象領域の拡大につながり、通常はサプライチェーン攻撃への扉を開きます」と彼は言います。
同氏は、この種の脆弱性では、多くのユーザーが脆弱なシステムを更新してパッチを適用するのに時間がかかると指摘しています。
「したがって、攻撃者は今後数カ月にわたり、これらの脆弱なシステムを標的にする可能性が高い」とカーソン氏は言う。
同氏はさらに、「この脆弱性は積極的に悪用されているため、多くのユーザーのシステムがすでに侵害されている可能性が高く、標的となったデバイスを特定し、それらのシステムに迅速にパッチを適用できることが重要です。」と付け加えた。
その結果、組織はこの脆弱性のある機密システムを調査して、リスクや重大な影響の可能性を判断する必要があるとカーソン氏は指摘します。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cloud-security/google-eighth-zero-day-patch-2023-chrome
- :持っている
- :は
- :not
- 2023
- 7
- a
- 能力
- できる
- アクセス
- 達成する
- アクティブ
- 積極的に
- 俳優
- 住所
- 追加
- アドバイザリー
- 許す
- ことができます
- 一人で
- 既に
- また
- しかし
- 間で
- an
- アナリスト
- および
- アンドロイド
- どれか
- API
- 建築
- です
- AS
- At
- 攻撃
- 攻撃
- 離れて
- 悪い
- バンキング
- BE
- き
- さ
- 越えて
- ブラウザ
- ブラウザ
- バッファ
- バッファオーバーフロー
- バグ
- バグ
- by
- カメラ
- 缶
- チェーン
- チーフ
- クロム
- クロム
- CISO
- 閉まっている
- コード
- COM
- 組み合わせた
- 来ます
- コミュニケーション
- 損害を受けた
- 同意
- 絶えず
- 可能性
- 重大な
- サイバー攻撃
- サイバー犯罪者
- 損傷
- 危険な
- データ
- 展開する
- 決定する
- Devices
- 発見
- do
- ありません
- によって
- 原因
- エッジ(Edge)
- エイス
- どちら
- 有効にする
- 脱出
- 特に
- さらに
- 例
- 実行
- 説明
- 悪用する
- 搾取
- 搾取
- 悪用
- 拡張する
- 特徴
- Firefoxの
- 名
- 欠陥
- から
- 一般に
- ゴエス
- でログイン
- Google Chrome
- 政府・公共機関
- 政府後援
- 成長
- ハッカー
- 持ってる
- he
- こちら
- HTML
- HTTPS
- 特定され
- 識別する
- if
- 影響
- 影響を受けた
- 重要
- in
- その他の
- 含めて
- 情報
- イニシアチブ
- インテリジェンス
- 調べる
- 分離
- 発行済み
- IT
- ITS
- 自体
- JavaScriptを
- JPG
- ただ
- より大きい
- つながる
- 主要な
- リード
- 可能性が高い
- たくさん
- 機械
- メーカー
- マルウェア
- 多くの
- マーキング
- 材料
- 手段
- マイクロフォン
- Microsoft
- マイクロソフトエッジ
- モバイル
- モバイルデバイス
- モジュール
- ヶ月
- の試合に
- ニーズ
- いいえ
- 注意
- ノート
- 数
- of
- on
- 開いた
- オープンソース
- 開きます
- or
- 組織
- 起源
- OS
- その他
- その他
- でる
- 外側
- 自分の
- ページ
- パッチ
- 視点
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポイント
- 人気
- 可能
- 潜在的な
- :
- プロセス
- プロフィール
- 守る
- 置きます
- すぐに
- RAM
- リーチ
- リアル
- への
- 最近
- リリース
- 残る
- リモート
- 報告
- 必要
- 研究
- 結果
- リスク
- リスク
- ラン
- s
- 前記
- 同じ
- サンドボックス
- 言う
- シナリオ
- 科学者
- 検索
- セキュリティ
- 敏感な
- shared
- すべき
- 重要
- から
- ウェブサイト
- サイト
- So
- ソフトウェア
- 一部
- ソース
- スポンサー
- start
- 手順
- まだ
- 供給
- サプライチェーン
- サポート
- 表面
- 驚き
- システム
- 取る
- ターゲット
- 対象となります
- ターゲット
- それ
- アプリ環境に合わせて
- そこ。
- したがって、
- ボーマン
- 彼ら
- この
- それらの
- しかし?
- 脅威
- 脅迫する
- 介して
- タイド
- 時間
- 〜へ
- top
- 真に
- 一般的に
- 下
- 単位
- アップデイト
- 緊急
- 使用法
- つかいます
- ユーザー
- users
- 使用されます
- 通常
- ベンダー
- 被害者
- 脆弱性
- 脆弱性
- 脆弱な
- ウェブサイト
- いつ
- while
- より広い
- 広範囲
- ワイルド
- 意志
- 以内
- 無し
- 言葉
- でしょう
- ゼファーネット