Chrome fikser den åttende nulldagen i 8 – sjekk versjonen din nå

Google har nettopp oppdatert Chromes åttende null-dagers hull årets så langt.

Null-dager er feil som det var null dager du kunne ha oppdatert proaktivt...

…fordi nettkriminelle ikke bare fant feilen først, men også fant ut hvordan de kunne utnytte den til ondsinnede formål før en oppdatering ble utarbeidet og publisert.

Så hurtigversjonen av denne artikkelen er: gå til Chrome Meny med tre prikker (⋮), velg Hjelp > Om Chrome, og sjekk at du har versjon 107.0.5304.121 eller senere.

Avdekker null-dager

For to tiår siden ble zero-days ofte kjent veldig raskt, vanligvis av en (eller begge) av to grunner:

• Et selvspredende virus eller orm ble utgitt for å utnytte feilen. Dette hadde ikke bare en tendens til å trekke oppmerksomhet til sikkerhetshullet og hvordan det ble misbrukt, men også for å sikre at selvstendige, arbeidskopier av den ondsinnede koden ble sprengt vidt og bredt for forskere å analysere.
• En bug-jeger som ikke var motivert av å tjene penger, ga ut prøvekode og skrøt av det. Paradoksalt nok, kanskje dette samtidig skadet sikkerheten ved å gi en "gratis gave" til nettkriminelle til bruk i angrep med en gang, og hjalp sikkerheten ved å tiltrekke forskere og leverandører til å fikse det, eller komme med en løsning, raskt.

I disse dager er zero-day-spillet ganske annerledes, fordi moderne forsvar har en tendens til å gjøre programvaresårbarheter vanskeligere å utnytte.

Dagens defensive lag inkluderer: ekstra beskyttelse innebygd i selve operativsystemene; sikrere programvareutviklingsverktøy; sikrere programmeringsspråk og kodestiler; og kraftigere verktøy for forebygging av cybertrusler.

På begynnelsen av 2000-tallet, for eksempel – epoken med superrask-spredning av virus som f.eks. Kode Rød og SQL Slammer – nesten ethvert stackbufferoverløp, og mange om ikke de fleste heapbufferoverløp, kan gjøres om fra teoretiske sårbarheter til praktiske utnyttelser i rask rekkefølge.

Med andre ord, å finne utnyttelser og "slippe" 0-dager var noen ganger nesten like enkelt som å finne den underliggende feilen i utgangspunktet.

Og med mange brukere som kjører med Administrator privilegier hele tiden, både på jobb og hjemme, trengte angripere sjelden å finne måter å lenke utnyttelser sammen for å overta en infisert datamaskin fullstendig.

Men på 2020-tallet, gjennomførbart utnyttelse av ekstern kjøring av kode – bugs (eller kjeder av bugs) som en angriper pålitelig kan bruke til å implantere skadevare på datamaskinen din, bare ved å lokke deg til å se en enkelt side på et nettsted som er fanget i booby-fanger, for eksempel – er generelt mye vanskeligere å finne, og verdt mye mer penger i cyberunderground som et resultat.

Enkelt sagt, de som får tak i zero-day bedrifter i disse dager har en tendens til ikke å skryte av dem lenger.

De har også en tendens til ikke å bruke dem i angrep som vil gjøre "hvordan og hvorfor" av inntrengningen åpenbar, eller som vil føre til at arbeidseksempler av utnyttelseskoden blir lett tilgjengelig for analyse og forskning.

Som et resultat blir zero-days ofte lagt merke til i disse dager først etter at et trusselresponsteam blir kalt til å undersøke et angrep som allerede er vellykket, men hvor vanlige inntrengningsmetoder (f.eks. phished-passord, manglende oppdateringer eller glemte servere) ikke ser ut til å har vært årsaken.

Bufferoverløp utsatt

I dette tilfellet, nå offisielt utpekt CVE-2022-4135, insektet ble rapportert av Googles egen trusselanalysegruppe, men ble ikke funnet proaktivt, gitt at Google innrømmer at det er «vitende om at en utnyttelse […] eksisterer i naturen.»

Sårbarheten har fått en Høy alvorlighetsgrad, og beskrives enkelt som: Heap buffer overflow i GPU.

Bufferoverflyt betyr generelt at kode fra en del av et program skriver utenfor minneblokkene som offisielt er allokert til det, og tråkker på data som senere vil bli avhengig av (og vil derfor implisitt bli klarert) av en annen del av programmet.

Som du kan forestille deg, er det mye som kan gå galt hvis et bufferoverløp kan utløses på en utspekulert måte som unngår en umiddelbar programkrasj.

Overløpet kan for eksempel brukes til å forgifte et filnavn som en annen del av programmet er i ferd med å bruke, noe som får det til å skrive data der det ikke skal; eller for å endre destinasjonen til en nettverkstilkobling; eller til og med for å endre plasseringen i minnet som programmet vil kjøre koden fra.

Google sier ikke eksplisitt hvordan denne feilen kan bli (eller har blitt) utnyttet, men det er lurt å anta at en slags ekstern kjøring av kode, som i stor grad er synonymt med "hemmelig implantasjon av skadelig programvare", er mulig, gitt at feilen innebærer feilhåndtering av hukommelsen.

Hva gjør jeg?

Chrome og Chromium blir oppdatert til 107.0.5304.121 på Mac og Linux, og til 107.0.5304.121 or 107.0.5304.122 på Windows (nei, vi vet ikke hvorfor det er to forskjellige versjoner), så sørg for å sjekke at du har versjonsnumre som er lik eller nyere enn disse.

For å sjekke Chrome-versjonen din og tvinge frem en oppdatering hvis du er bak, gå til Meny med tre prikker (⋮) og velg Hjelp > Om Chrome.

Microsoft Edge, som du sikkert vet, er basert på Chromium-koden (den åpen kildekode-kjernen i Chrome), men har ikke hatt en offisiell oppdatering siden dagen før Googles trusselforskere logget denne feilen (og har ikke hatt en oppdatering som eksplisitt viser eventuelle sikkerhetsreparasjoner siden 2022-11-10).

Så vi kan ikke fortelle deg om Edge er berørt, eller om du bør forvente en oppdatering for denne feilen, men vi anbefaler å holde øye med Microsofts offisielle utgivelsesnotater for sikkerhets skyld.

---