Google naprawia 24 luki w zabezpieczeniach dzięki nowej aktualizacji Chrome

Pierwsza stabilna wersja kanału Google Chrome 105 dla systemów Windows, Mac i Linux, wydana w tym tygodniu, zawierała poprawki 24 luk w poprzednich wersjach oprogramowania, w tym jedną „krytyczną” i osiem, które firma oceniła jako „wysokie”.

Wiele — dziewięć — problemów bezpieczeństwa, które Google rozwiązało w Chrome 105, to tak zwane luki w zabezpieczeniach typu „use-after-free” lub luki, które pozwalają atakującym wykorzystać wcześniej zwolnione miejsca w pamięci do wykonania złośliwego kodu, uszkodzenia danych i podjęcia innych złośliwych działań. Cztery z załatanych luk dotyczyły przepełnienia bufora sterty w różnych komponentach Chrome, w tym WebUI i Screen Capture.

Atakujący często wykorzystują przepełnienia bufora do różnych złośliwych celów, w tym do wykonywania losowego kodu, nadpisywania danych, zawieszania systemów i wywoływania warunków odmowy usługi.

Nadpisywanie schowka

Jeden problem, którego Google nie rozwiązał w centrach aktualizacji wokół schowków. Według Malwarebytes, gdy użytkownicy Google Chrome — lub dowolnej przeglądarki opartej na Chromium — odwiedzają witrynę internetową, witryna może wypchnąć dowolną treść do schowka systemu operacyjnego użytkownika, bez zgody użytkownika lub jakiejkolwiek interakcji.

„Oznacza to, że po prostu odwiedzając stronę internetową, dane w schowku mogą zostać nadpisane bez Twojej zgody lub wiedzy” — powiedział Malwarebytes.

Może to spowodować utratę przez użytkowników cennych danych, które mogli chcieć wyciąć i wkleić w innym miejscu, a jednocześnie dać atakującym okazję do próby przemycenia złośliwego kodu do systemu użytkownika, powiedział dostawca zabezpieczeń. Problem ma związek z brakiem jakichkolwiek wymagań w Chrome i przeglądarce opartej na Chromium, aby użytkownicy podejmowali określone kroki, takie jak użycie „Ctrl + C” do kopiowania treści ze strony internetowej do schowka użytkownika, powiedział Malwarebytes.

Badacz bezpieczeństwa Jeff Johnson zidentyfikował problem z Chrome jako część szerszego problemu ma to wpływ zarówno na Safari, jak i Firefox również. „Chrome jest obecnie najgorszym winowajcą, ponieważ wymóg gestów użytkownika do zapisywania do schowka został przypadkowo złamany w wersji 104”, powiedział w raporcie z tego tygodnia.

Jednak rzeczywistość jest taka, że ​​użytkownicy innych przeglądarek, takich jak Firefox i Safari, mogą sprawić, że strony internetowe nadpiszą ich schowki systemowe łatwiej, niż zdają sobie z tego sprawę, powiedział Johnson. Chociaż obie te przeglądarki wymagają od użytkowników podjęcia pewnych działań w celu skopiowania treści witryny do schowka, działania są o wiele szersze, niż mogliby sobie wyobrazić.

Na przykład działania takie jak skupianie się na ekranie lub naciśnięcie klawisza w dół/w górę i w dół/w górę myszy mogą spowodować skopiowanie treści witryny do schowka bez wiedzy użytkownika, powiedział Johnson.

Badacz zauważył, że programiści Chrome są już świadomi problemu i rozwiązują go. Google nie odpowiedział natychmiast na prośbę Dark Reading o komentarz.

„Napastnicy mogą wykorzystywać ten błąd do kopiowania złośliwych linków do schowka użytkowników, co może skutkować wklejeniem tych linków w pasku adresu i przypadkowym dostępem do złośliwych stron” — mówi Ivan Righi, starszy analityk cyberzagrożeń w firmie Digital Shadows.

„Innym sposobem wykorzystania tego błędu jest przeprowadzanie oszukańczych transakcji kryptowalutowych. Aktorzy zajmujący się zagrożeniem mogą wykorzystać lukę w połączeniu z atakami socjotechnicznymi, aby skłonić użytkowników do wprowadzenia niewłaściwych adresów portfela do transakcji” – mówi Righi. Jednak prawdopodobieństwo powodzenia takich ataków jest niskie, ponieważ użytkownicy prawdopodobnie zauważą nienormalną zawartość umieszczoną w ich schowku, mówi.

Mnóstwo problemów z użytkowaniem po zwolnieniu

Tymczasem jedyna krytyczna luka w zabezpieczeniach (CVE-2022-3038), którą Google wyeliminowała w stabilnej wersji Chrome 105, została zgłoszona przez badacza bezpieczeństwa z własnego zespołu ds. polowania na błędy w projekcie Zero: luka w usłudze sieciowej Google Chrome polegająca na użyciu po zwolnieniu daje zdalnym atakującym sposób na wykonanie dowolnego kodu
lub wywołać warunki odmowy usługi w systemach użytkowników, zmuszając ich do odwiedzenia uzbrojonej strony internetowej.

Zewnętrzni łowcy błędów i badacze bezpieczeństwa zgłosili wszystkie pozostałe luki, które Google rozwiązało w tym tygodniu w Chrome. Wydaje się, że najbardziej konsekwentnym z nich była luka CVE-2022-3039, bardzo poważna luka w zabezpieczeniach WebSQL typu „user-after-free”, którą zgłosiło Google dwóch badaczy z chińskiego Instytutu Badań nad Lukami 360. Naukowcy otrzymali 10,000 XNUMX USD za zgłoszenie błędu do Google – najwyższa kwota przyznana w obecnym zestawie.

Kolejna luka w układzie Chrome o dużym wpływie, polegająca na użyciu po zwolnieniu, przyniosła 9,000 1,000 USD anonimowemu badaczowi bezpieczeństwa, który zgłosił problem do Google. Nagrody za pozostałe błędy wahały się od 7,500 do XNUMX USD. Google nie określiło jeszcze nagród za ujawnienie czterech błędów.

Jak stało się to standardową praktyką wśród głównych dostawców, Google powiedział, że ograniczył dostęp do szczegółów błędów, dopóki większość użytkowników nie będzie miała możliwości wdrożenia nowej, stabilnej wersji Chrome.

„Utrzymamy również ograniczenia, jeśli błąd występuje w bibliotece innej firmy, od której podobnie zależą inne projekty, ale jeszcze nie została naprawiona” Google powiedział na blogu w tym tygodniu. Starszy dyrektor ds. bezpieczeństwa w firmie Microsoft niedawno użył tego samego powodu wyjaśnić, dlaczego ujawnienia błędów firmy Microsoft również zawierają skąpe szczegóły w te dni.

Chociaż poprawki błędów są prawie na pewno głównym powodem, dla którego użytkownicy mogą chcieć zaktualizować Chrome do stabilnej wersji 105, nowa wersja przeglądarki wprowadza również kilka dodatkowych funkcji. Należą do nich funkcje, które pozwalają programistom dodawać przyciski sterowania systemem Windows — takie jak zamykanie, maksymalizowanie lub minimalizowanie — do progresywnych aplikacji internetowych, nowy interfejs API obrazu w obrazie dla Chrome na Androida oraz ulepszenia interfejsu API nawigacji Chrome.