Google выпустил срочное обновление для устранения недавно обнаруженной уязвимости в Chrome, которая активно используется в природе, что стало восьмой уязвимостью нулевого дня, выявленной для браузера в 2023 году.
Определено как CVE-2023-7024В Google заявили, что уязвимость представляет собой серьезную ошибку переполнения буфера кучи в модуле Chrome WebRTC, который позволяет удаленное выполнение кода (RCE).
WebRTC — это инициатива с открытым исходным кодом, обеспечивающая связь в реальном времени через API-интерфейсы и пользующаяся широкой поддержкой среди ведущих производителей браузеров.
Чем CVE-2023-7024 угрожает пользователям Chrome
Лайонел Литти, главный архитектор безопасности Menlo Security, объясняет, что риск эксплуатации — это возможность достичь RCE в процессе рендеринга. Это означает, что злоумышленник может запустить произвольный двоичный код на компьютере пользователя за пределами изолированной программной среды JavaScript.
Однако реальный ущерб зависит от использования ошибки в качестве первого шага в цепочке эксплойтов; чтобы быть по-настоящему опасным, его необходимо сочетать с уязвимостью выхода из песочницы либо в самом Chrome, либо в операционной системе.
«Однако этот код все еще находится в песочнице из-за многопроцессной архитектуры Chrome», — говорит Литти, — «поэтому только из-за этой уязвимости злоумышленник не может получить доступ к файлам пользователя или начать развертывание вредоносного ПО, и его точка опоры на компьютере исчезает, когда затронутая вкладка закрыто."
Он отмечает, что функция изоляции сайтов Chrome обычно защищает данные с других сайтов, поэтому злоумышленник не может нацелиться на банковскую информацию жертвы, хотя он добавляет, что здесь есть несколько тонких предостережений.
Например, это приведет к тому, что целевой источник станет доступен вредоносному источнику, если они используют один и тот же сайт: Другими словами, гипотетический вредоносный.shared.com может быть нацелен на жертву.shared.com.
«Хотя для доступа к микрофону или камере требуется согласие пользователя, для доступа к самому WebRTC этого не требуется», — объясняет Литти. «Вполне возможно, что эта уязвимость может быть атакована любым веб-сайтом, не требуя каких-либо действий пользователя, кроме посещения вредоносной страницы, поэтому с этой точки зрения угроза является значительной».
Обри Перин, ведущий аналитик по анализу угроз Qualys Threat Research Unit, отмечает, что распространение ошибки выходит за рамки Google Chrome.
«Эксплуатация Chrome связана с его повсеместностью — даже Microsoft Edge использует Chromium», — говорит он. «Таким образом, использование Chrome потенциально может быть нацелено на пользователей Edge и позволит злоумышленникам расширить охват».
И следует отметить, что мобильные устройства Android, использующие Chrome, имеют свой собственный профиль риска; в некоторых сценариях они помещают несколько сайтов в один и тот же процесс рендеринга, особенно на устройствах с небольшим объемом оперативной памяти.
Браузеры остаются основной целью кибератак
Крупные производители браузеров недавно сообщили о растущем числе ошибок нулевого дня — сообщил только Google. пять с августа.
Apple, Microsoft и Firefox входят в число других компаний, раскрывших ряд критических уязвимостей в своих браузерах, включая некоторые нулевые дни.
Джозеф Карсон, главный специалист по безопасности и консультативный директор по информационной безопасности в Delinea, говорит, что неудивительно, что спонсируемые правительством хакеры и киберпреступники нацелены на популярное программное обеспечение, постоянно ища уязвимости для использования.
«Это обычно приводит к увеличению поверхности атаки из-за широкого использования программного обеспечения, множества платформ, ценных целей и обычно открывает двери для атак на цепочку поставок», — говорит он.
Он отмечает, что подобные типы уязвимостей также требуют времени для многих пользователей для обновления и исправления уязвимых систем.
«Поэтому злоумышленники, скорее всего, будут атаковать эти уязвимые системы в течение многих месяцев», — говорит Карсон.
Он добавляет: «Поскольку эта уязвимость активно используется, это, вероятно, означает, что системы многих пользователей уже были скомпрометированы, и было бы важно иметь возможность идентифицировать устройства, которые были атакованы, и быстро исправить эти системы».
В результате, отмечает Карсон, организациям следует исследовать чувствительные системы с этой уязвимостью, чтобы определить любые риски или потенциальное существенное воздействие.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/cloud-security/google-eighth-zero-day-patch-2023-chrome
- :имеет
- :является
- :нет
- 2023
- 7
- a
- способность
- в состоянии
- доступ
- Достигать
- активный
- активно
- актеры
- адрес
- Добавляет
- консультативный
- позволять
- позволяет
- в одиночестве
- уже
- причислены
- Несмотря на то, что
- среди
- an
- аналитик
- и
- android
- любой
- API
- архитектура
- МЫ
- AS
- At
- атаковать
- нападки
- прочь
- Плохой
- Банковское дело
- BE
- было
- не являетесь
- Beyond
- браузер
- браузеры
- буфер
- переполнение буфера
- Ошибка
- ошибки
- by
- камера
- CAN
- не могу
- цепь
- главный
- Chrome
- хром
- CISO
- закрыто
- код
- COM
- сочетании
- как
- Связь
- Ослабленный
- согласие
- постоянно
- может
- критической
- Кибератака
- киберпреступники
- повреждение
- опасно
- данным
- развертывание
- Определять
- Устройства
- открытый
- do
- приносит
- Двери
- два
- Edge
- восьмой
- или
- позволяет
- бежать
- особенно
- Даже
- пример
- выполнение
- Объясняет
- Эксплуатировать
- эксплуатация
- Эксплуатируемый
- эксплуатации
- продолжается
- Особенность
- Файлы
- Firefox
- Во-первых,
- недостаток
- Что касается
- от
- в общем
- идет
- Google Chrome
- Правительство
- правительство спонсирует
- Рост
- Хакеры
- Есть
- he
- здесь
- HTML
- HTTPS
- идентифицированный
- определения
- if
- Влияние
- влияние
- важную
- in
- В других
- В том числе
- информация
- Инициатива
- вход
- Интеллекта
- исследовать
- изоляция
- Выпущен
- IT
- ЕГО
- саму трезвость
- JavaScript
- JPG
- всего
- больше
- вести
- ведущий
- Лиды
- Вероятно
- серия
- машина
- Makers
- вредоносных программ
- многих
- маркировка
- материала
- означает
- микрофон
- Microsoft
- Microsoft Edge
- Мобильный телефон
- мобильных устройств
- Модули
- месяцев
- с разными
- потребности
- нет
- отметил,
- Заметки
- номер
- of
- on
- открытый
- с открытым исходным кодом
- Откроется
- or
- организации
- происхождения
- OS
- Другое
- Другое
- внешний
- внешнюю
- собственный
- страница
- Патчи
- перспектива
- Платформы
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- пунктов
- Популярное
- возможное
- потенциал
- потенциально
- процесс
- Профиль
- для защиты
- положил
- быстро
- Оперативная память
- достигать
- реальные
- реального времени
- недавно
- публикации
- оставаться
- удаленные
- Сообщается
- требуется
- исследованиям
- результат
- Снижение
- рисках,
- Run
- s
- Сказал
- то же
- песочница
- говорит
- Сценарии
- Ученый
- поиск
- безопасность
- чувствительный
- общие
- должен
- значительный
- с
- сайте
- Сайтов
- So
- Software
- некоторые
- Источник
- Спонсоров
- Начало
- Шаг
- По-прежнему
- поставка
- цепочками поставок
- поддержка
- Поверхность
- сюрприз
- системы
- взять
- цель
- целевое
- направлена против
- который
- Ассоциация
- их
- Там.
- следовательно
- Эти
- они
- этой
- те
- хоть?
- угроза
- угрожает
- Через
- Связанный
- время
- в
- топ
- по-настоящему
- Типы
- типично
- под
- Ед. изм
- Обновление ПО
- срочный
- Применение
- использование
- Информация о пользователе
- пользователей
- использования
- через
- обычно
- поставщики
- Жертва
- Уязвимости
- уязвимость
- Уязвимый
- Вебсайт
- когда
- в то время как
- Шире
- широко распространена
- Дикий
- будете
- в
- без
- слова
- бы
- зефирнет