Google выпускает восьмой патч нулевого дня 2023 года для Chrome

Google выпустил срочное обновление для устранения недавно обнаруженной уязвимости в Chrome, которая активно используется в природе, что стало восьмой уязвимостью нулевого дня, выявленной для браузера в 2023 году.

Определено как CVE-2023-7024В Google заявили, что уязвимость представляет собой серьезную ошибку переполнения буфера кучи в модуле Chrome WebRTC, который позволяет удаленное выполнение кода (RCE).

WebRTC — это инициатива с открытым исходным кодом, обеспечивающая связь в реальном времени через API-интерфейсы и пользующаяся широкой поддержкой среди ведущих производителей браузеров.

Чем CVE-2023-7024 угрожает пользователям Chrome

Лайонел Литти, главный архитектор безопасности Menlo Security, объясняет, что риск эксплуатации — это возможность достичь RCE в процессе рендеринга. Это означает, что злоумышленник может запустить произвольный двоичный код на компьютере пользователя за пределами изолированной программной среды JavaScript.

Однако реальный ущерб зависит от использования ошибки в качестве первого шага в цепочке эксплойтов; чтобы быть по-настоящему опасным, его необходимо сочетать с уязвимостью выхода из песочницы либо в самом Chrome, либо в операционной системе.

«Однако этот код все еще находится в песочнице из-за многопроцессной архитектуры Chrome», — говорит Литти, — «поэтому только из-за этой уязвимости злоумышленник не может получить доступ к файлам пользователя или начать развертывание вредоносного ПО, и его точка опоры на компьютере исчезает, когда затронутая вкладка закрыто."

Он отмечает, что функция изоляции сайтов Chrome обычно защищает данные с других сайтов, поэтому злоумышленник не может нацелиться на банковскую информацию жертвы, хотя он добавляет, что здесь есть несколько тонких предостережений.

Например, это приведет к тому, что целевой источник станет доступен вредоносному источнику, если они используют один и тот же сайт: Другими словами, гипотетический вредоносный.shared.com может быть нацелен на жертву.shared.com.

«Хотя для доступа к микрофону или камере требуется согласие пользователя, для доступа к самому WebRTC этого не требуется», — объясняет Литти. «Вполне возможно, что эта уязвимость может быть атакована любым веб-сайтом, не требуя каких-либо действий пользователя, кроме посещения вредоносной страницы, поэтому с этой точки зрения угроза является значительной».

Обри Перин, ведущий аналитик по анализу угроз Qualys Threat Research Unit, отмечает, что распространение ошибки выходит за рамки Google Chrome.

«Эксплуатация Chrome связана с его повсеместностью — даже Microsoft Edge использует Chromium», — говорит он. «Таким образом, использование Chrome потенциально может быть нацелено на пользователей Edge и позволит злоумышленникам расширить охват».

И следует отметить, что мобильные устройства Android, использующие Chrome, имеют свой собственный профиль риска; в некоторых сценариях они помещают несколько сайтов в один и тот же процесс рендеринга, особенно на устройствах с небольшим объемом оперативной памяти.

Браузеры остаются основной целью кибератак

Крупные производители браузеров недавно сообщили о растущем числе ошибок нулевого дня — сообщил только Google. пять с августа.

Apple, Microsoft и Firefox входят в число других компаний, раскрывших ряд критических уязвимостей в своих браузерах, включая некоторые нулевые дни.

Джозеф Карсон, главный специалист по безопасности и консультативный директор по информационной безопасности в Delinea, говорит, что неудивительно, что спонсируемые правительством хакеры и киберпреступники нацелены на популярное программное обеспечение, постоянно ища уязвимости для использования.

«Это обычно приводит к увеличению поверхности атаки из-за широкого использования программного обеспечения, множества платформ, ценных целей и обычно открывает двери для атак на цепочку поставок», — говорит он.

Он отмечает, что подобные типы уязвимостей также требуют времени для многих пользователей для обновления и исправления уязвимых систем.

«Поэтому злоумышленники, скорее всего, будут атаковать эти уязвимые системы в течение многих месяцев», — говорит Карсон.

Он добавляет: «Поскольку эта уязвимость активно используется, это, вероятно, означает, что системы многих пользователей уже были скомпрометированы, и было бы важно иметь возможность идентифицировать устройства, которые были атакованы, и быстро исправить эти системы».

В результате, отмечает Карсон, организациям следует исследовать чувствительные системы с этой уязвимостью, чтобы определить любые риски или потенциальное существенное воздействие.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/cloud-security/google-eighth-zero-day-patch-2023-chrome