Google lanserer åttende Zero-Day Patch fra 2023 for Chrome

Google har gitt ut en presserende oppdatering for å adressere en nylig oppdaget sårbarhet i Chrome som har vært under aktiv utnyttelse i naturen, og markerer den åttende null-dagers sårbarheten identifisert for nettleseren i 2023.

Identifisert som CVE-2023-7024, sa Google at sårbarheten er en betydelig haugbufferoverløpsfeil i Chromes WebRTC-modul som tillater ekstern kjøring av kode (RCE).

WebRTC er et åpen kildekode-initiativ som muliggjør sanntidskommunikasjon gjennom APIer, og nyter bred støtte blant de ledende nettleserprodusentene.

Hvordan CVE-2023-7024 truer Chrome-brukere

Lionel Litty, sjefssikkerhetsarkitekt hos Menlo Security, forklarer at risiko fra utnyttelse er evnen til å oppnå RCE i gjengivelsesprosessen. Dette betyr at en dårlig skuespiller kan kjøre vilkårlig binær kode på brukerens maskin, utenfor JavaScript-sandkassen.

Men reell skade er avhengig av å bruke feilen som det første trinnet i en utnyttelseskjede; det må kombineres med en sårbarhet for unnslipping av sandkasse i enten Chrome selv eller operativsystemet for å være virkelig farlig.

"Denne koden er fortsatt i sandkasse på grunn av flerprosessarkitekturen til Chrome," sier Litty, "så med bare denne sårbarheten kan ikke en angriper få tilgang til brukerens filer eller begynne å distribuere skadelig programvare, og fotfestet på maskinen forsvinner når den berørte fanen er lukket."

Han påpeker at Chromes funksjon for nettstedisolering generelt vil beskytte data fra andre nettsteder, så en angriper kan ikke målrette mot offerets bankinformasjon, selv om han legger til at det er noen subtile forbehold her.

For eksempel vil dette eksponere en målopprinnelse for den ondsinnede opprinnelsen hvis de bruker samme nettsted: Med andre ord kan en hypotetisk malicious.shared.com målrette mot victim.shared.com.

"Selv om tilgang til mikrofonen eller kameraet krever brukersamtykke, gjør ikke tilgang til selve WebRTC det," forklarer Litty. "Det er mulig denne sårbarheten kan målrettes av et hvilket som helst nettsted uten å kreve noen brukerinndata utover å besøke den ondsinnede siden, så fra dette perspektivet er trusselen betydelig."

Aubrey Perin, ledende trusseletterretningsanalytiker ved Qualys Threat Research Unit, bemerker at rekkevidden til feilen strekker seg utover Google Chrome.

"Utnyttelsen av Chrome er knyttet til dens allestedsnærværende - selv Microsoft Edge bruker Chromium," sier han. "Så utnyttelse av Chrome kan potensielt målrette Edge-brukere og gi dårlige skuespillere en større rekkevidde."

Og det bør bemerkes at Android-mobilenheter som bruker Chrome har sin egen risikoprofil; de setter flere nettsteder i samme gjengivelsesprosess i noen scenarier, spesielt på enheter som ikke har mye RAM.

Nettlesere forblir et topp mål for cyberangrep

Store nettleserleverandører har nylig rapportert om et økende antall nulldagers feil – Google alene rapporterte fem siden august.

Apple, Microsoft og Firefox er blant de andre som har avslørt en serie kritiske sårbarheter i nettleserne deres, inkludert noen zero-days.

Joseph Carson, sjefssikkerhetsforsker og rådgivende CISO i Delinea, sier at det ikke er noen overraskelse at myndighetssponsede hackere og nettkriminelle retter seg mot den populære programvaren, og stadig søker etter sårbarheter å utnytte.

"Dette fører vanligvis til en større angrepsflate på grunn av programvarens utbredte bruk, flere plattformer, høyverdimål, og åpner vanligvis døren for forsyningskjedeangrep," sier han.

Han bemerker at denne typen sårbarheter også tar tid for mange brukere å oppdatere og lappe sårbare systemer.

"Derfor vil angripere sannsynligvis målrette mot disse sårbare systemene i mange måneder fremover," sier Carson.

Han legger til, "Ettersom denne sårbarheten blir aktivt utnyttet, betyr det sannsynligvis at mange brukersystemer allerede har blitt kompromittert, og det ville være viktig å kunne identifisere enheter som er målrettet og raskt lappe disse systemene."

Som et resultat, bemerker Carson, bør organisasjoner undersøke sensitive systemer med denne sårbarheten for å fastslå eventuelle risikoer eller potensielle vesentlige konsekvenser.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/cloud-security/google-eighth-zero-day-patch-2023-chrome