Chrome naprawia ósmy dzień zerowy 8 r. – sprawdź swoją wersję już teraz

Google właśnie załatał ósmą wersję przeglądarki Chrome dziura dnia zerowego dotychczas roku.

Zero dni to błędy, dla których nie było żadnych dni, które można by proaktywnie aktualizować…

…ponieważ cyberprzestępcy nie tylko pierwsi znaleźli błąd, ale także wymyślili, jak wykorzystać go do niecnych celów, zanim łatka została przygotowana i opublikowana.

Skrócona wersja tego artykułu brzmi: przejdź do przeglądarki Chrome Menu z trzema kropkami (⋮), wybierz Pomoc > O Chromei sprawdź, czy masz wersję 107.0.5304.121 lub później.

Odkrywanie dni zerowych

Dwie dekady temu dni zerowe często stały się szeroko znane bardzo szybko, zazwyczaj z jednego (lub obu) z dwóch powodów:

• W celu wykorzystania błędu został wypuszczony samorozprzestrzeniający się wirus lub robak. To zwykle nie tylko zwracało uwagę na lukę w zabezpieczeniach i sposób, w jaki była wykorzystywana, ale także zapewniało, że niezależne, działające kopie złośliwego kodu zostały rozesłane daleko i szeroko, aby badacze mogli je przeanalizować.
• Łowca błędów, który nie jest zmotywowany zarabianiem pieniędzy, opublikował przykładowy kod i chwalił się nim. Być może paradoksalnie zaszkodziło to jednocześnie bezpieczeństwu, wręczając cyberprzestępcom „darmowy upominek” do natychmiastowego wykorzystania w atakach, i pomogło w bezpieczeństwie, zachęcając badaczy i dostawców do szybkiego naprawienia problemu lub znalezienia obejścia.

W dzisiejszych czasach gra zero-day jest raczej inna, ponieważ współczesne mechanizmy obronne sprawiają, że luki w oprogramowaniu są trudniejsze do wykorzystania.

Dzisiejsze warstwy obronne obejmują: dodatkowe zabezpieczenia wbudowane w same systemy operacyjne; bezpieczniejsze narzędzia do tworzenia oprogramowania; bezpieczniejsze języki programowania i style kodowania; i potężniejsze narzędzia zapobiegania cyberzagrożeniom.

Na przykład na początku XXI wieku – w epoce superszybko rozprzestrzeniających się wirusów, takich jak Kod czerwony i SQL Slammer — prawie każde przepełnienie bufora stosu i wiele, jeśli nie większość, przepełnień bufora sterty można szybko przekształcić z teoretycznych luk w praktyczne exploity.

Innymi słowy, znalezienie exploitów i „porzucenie” dni zerowych było czasami prawie tak proste, jak znalezienie podstawowego błędu.

I z wieloma użytkownikami działającymi z Administrator uprawnień przez cały czas, zarówno w pracy, jak iw domu, osoby atakujące rzadko musiały znajdować sposoby na łączenie exploitów w celu całkowitego przejęcia zainfekowanego komputera.

Ale w latach 2020-tych wykonalne exploity umożliwiające zdalne wykonanie kodu – błędy (lub łańcuchy błędów), które atakujący może niezawodnie wykorzystać do zaimplementowania złośliwego oprogramowania na twoim komputerze, na przykład poprzez zwabienie cię do wyświetlenia jednej strony w witrynie będącej pułapką – są na ogół znacznie trudniejsze do znalezienia i dużo warte w rezultacie więcej pieniędzy w cyberpodziemiu.

Mówiąc najprościej, ci, którzy mają obecnie do czynienia z exploitami dnia zerowego, zwykle już się nimi nie chwalą.

Zwykle nie używają ich także w atakach, które sprawiłyby, że „jak i dlaczego” włamania stałoby się oczywiste, lub które doprowadziłyby do udostępnienia roboczych próbek kodu exploita do analizy i badań.

W rezultacie dni zerowe często są obecnie zauważane dopiero po wezwaniu zespołu reagowania na zagrożenia w celu zbadania ataku, który już się powiódł, ale w którym typowe metody włamań (np. wyłudzanie haseł, brakujące łatki lub zapomniane serwery) wydają się nie działać. były przyczyną.

Odsłonięte przepełnienie bufora

W tym przypadku, teraz oficjalnie wyznaczony CVE-2022-4135, błąd był zgłoszony przez własną Grupę Analizy Zagrożeń Google, ale nie została wykryta proaktywnie, biorąc pod uwagę, że Google przyznaje, że jest „świadomy, że exploit […] istnieje w środowisku naturalnym”.

Luka została nadana a Wysoki dotkliwość i jest opisana po prostu jako: Przepełnienie bufora sterty w GPU.

Przepełnienia bufora ogólnie oznaczają, że kod z jednej części programu zapisuje poza oficjalnie przydzielonymi mu blokami pamięci i depcze dane, na których później będzie polegać (a zatem domyślnie będzie im ufać) przez inną część programu.

Jak możesz sobie wyobrazić, wiele może pójść nie tak, jeśli przepełnienie bufora zostanie wywołane w przebiegły sposób, który pozwoli uniknąć natychmiastowej awarii programu.

Przepełnienie może zostać użyte, na przykład, do zatrucia nazwy pliku, którego ma użyć inna część programu, powodując zapisywanie danych tam, gdzie nie powinno; lub zmienić miejsce docelowe połączenia sieciowego; lub nawet zmienić lokalizację w pamięci, z której program wykona następny kod.

Google nie mówi wprost, w jaki sposób ten błąd mógł zostać (lub został) wykorzystany, ale rozsądnie jest założyć, że możliwe jest zdalne wykonanie kodu, które jest w dużej mierze równoznaczne z „potajemną implantacją złośliwego oprogramowania”, biorąc pod uwagę, że błąd wiąże się z niewłaściwym zarządzaniem pamięcią.

Co robić?

Chrome i Chromium zostaną zaktualizowane do 107.0.5304.121 na komputerach Mac i Linux oraz do 107.0.5304.121 or 107.0.5304.122 w systemie Windows (nie, nie wiemy, dlaczego istnieją dwie różne wersje), więc upewnij się, że masz numery wersji równe lub nowsze.

Aby sprawdzić wersję Chrome i wymusić aktualizację, jeśli masz opóźnienia, przejdź do Menu z trzema kropkami (⋮) i wybierz Pomoc > O Chrome.

Microsoft Edge, jak zapewne wiesz, jest oparty na kodzie Chromium (rdzeń Chrome o otwartym kodzie źródłowym), ale nie miał oficjalnej aktualizacji od dnia, w którym badacze zagrożeń Google zarejestrowali ten błąd (i nie miał aktualizacji który wyraźnie wymienia wszelkie poprawki zabezpieczeń od 2022-11-10).

Nie możemy więc powiedzieć, czy ma to wpływ na Edge, ani czy należy spodziewać się aktualizacji tego błędu, ale zalecamy obserwowanie firmy Microsoft oficjalne uwagi do wydania w razie czego.

---