Google har utfärdat en brådskande uppdatering för att åtgärda en nyligen upptäckt sårbarhet i Chrome som har exploateras aktivt i naturen, vilket markerar den åttonde nolldagarssårbarheten som identifierades för webbläsaren 2023.
Identifierad som CVE-2023-7024, sa Google att sårbarheten är ett betydande fel i heap-buffertspill i Chromes WebRTC-modul som tillåter fjärrkörning av kod (RCE).
WebRTC är ett initiativ med öppen källkod som möjliggör realtidskommunikation via API:er och åtnjuter brett stöd bland de ledande webbläsartillverkarna.
Hur CVE-2023-7024 hotar Chrome-användare
Lionel Litty, chefssäkerhetsarkitekt på Menlo Security, förklarar att risken från exploatering är förmågan att uppnå RCE i renderingsprocessen. Detta innebär att en dålig aktör kan köra godtycklig binär kod på användarens dator, utanför JavaScript-sandlådan.
Men verklig skada förlitar sig på att använda buggen som det första steget i en exploateringskedja; det måste kombineras med en sårbarhet för utrymning av sandlåda i antingen Chrome själv eller operativsystemet för att vara riktigt farlig.
"Den här koden är fortfarande i sandlåda på grund av Chromes multiprocessarkitektur", säger Litty, "så med bara denna sårbarhet kan en angripare inte komma åt användarens filer eller börja distribuera skadlig programvara, och deras fotfäste på maskinen försvinner när den påverkade fliken är stängd."
Han påpekar att Chromes funktion för webbplatsisolering i allmänhet skyddar data från andra webbplatser, så en angripare kan inte rikta in sig på offrets bankinformation, även om han tillägger att det finns några subtila varningar här.
Till exempel skulle detta exponera ett målursprung för det skadliga ursprunget om de använder samma webbplats: Med andra ord kan en hypotetisk malicious.shared.com rikta sig mot victim.shared.com.
"Medan åtkomst till mikrofonen eller kameran kräver användarens samtycke, gör inte åtkomsten till själva WebRTC det," förklarar Litty. "Det är möjligt att den här sårbarheten kan riktas mot vilken webbplats som helst utan att det krävs någon användarinput utöver att besöka den skadliga sidan, så ur detta perspektiv är hotet betydande."
Aubrey Perin, ledande hotintelligensanalytiker vid Qualys Threat Research Unit, noterar att räckvidden för buggen sträcker sig bortom Google Chrome.
"Utnyttjandet av Chrome är knutet till dess allestädes närvarande - även Microsoft Edge använder Chromium", säger han. "Så, att utnyttja Chrome kan också potentiellt rikta in sig på Edge-användare och ge dåliga skådespelare en bredare räckvidd."
Och det bör noteras att Android-mobilenheter som använder Chrome har sin egen riskprofil; de sätter flera webbplatser i samma renderingsprocess i vissa scenarier, särskilt på enheter som inte har mycket RAM.
Webbläsare förblir ett toppmål för cyberattacker
Stora webbläsarleverantörer har nyligen rapporterat ett växande antal nolldagarsbuggar - endast Google rapporterade fem sedan augusti.
Apple, Microsoft och Firefox är bland de andra som har avslöjat en serie av kritiska sårbarheter i sina webbläsare, inklusive några nolldagar.
Joseph Carson, säkerhetsforskare och rådgivande CISO på Delinea, säger att det inte är någon överraskning att statligt sponsrade hackare och cyberbrottslingar riktar sig mot den populära mjukvaran och ständigt söker efter sårbarheter att utnyttja.
"Detta leder vanligtvis till en större attackyta på grund av programvarans utbredda användning, flera plattformar, mål med högt värde och vanligtvis öppnar dörren för attacker i supply chain", säger han.
Han noterar att dessa typer av sårbarheter också tar tid för många användare att uppdatera och korrigera sårbara system.
"Därför kommer angripare sannolikt att rikta in sig på dessa sårbara system i många månader framöver", säger Carson.
Han tillägger, "Eftersom den här sårbarheten aktivt utnyttjas, betyder det sannolikt att många användares system redan har äventyrats och det skulle vara viktigt att kunna identifiera enheter som har riktats mot och snabbt korrigera dessa system."
Som ett resultat, noterar Carson, bör organisationer undersöka känsliga system med denna sårbarhet för att fastställa eventuella risker eller potentiella väsentliga effekter.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/cloud-security/google-eighth-zero-day-patch-2023-chrome
- : har
- :är
- :inte
- 2023
- 7
- a
- förmåga
- Able
- tillgång
- Uppnå
- aktiv
- aktivt
- aktörer
- adress
- Lägger
- rådgivande
- tillåter
- tillåter
- ensam
- redan
- också
- Även
- bland
- an
- analytiker
- och
- android
- vilken som helst
- API: er
- arkitektur
- ÄR
- AS
- At
- attackera
- Attacker
- bort
- Badrum
- Banking
- BE
- varit
- Där vi får lov att vara utan att konstant prestera,
- Bortom
- webbläsare
- webbläsare
- buffert
- buffertöverskridning
- Bug
- fel
- by
- rum
- KAN
- kan inte
- kedja
- chef
- krom
- krom
- CISO
- stängt
- koda
- COM
- kombinerad
- komma
- Kommunikation
- Äventyras
- samtycke
- ständigt
- kunde
- kritisk
- Cyber attack
- nätbrottslingar
- skada
- Dangerous
- datum
- utplacera
- Bestämma
- enheter
- upptäckt
- do
- gör
- Dörr
- grund
- kant
- Åttonde
- antingen
- möjliggör
- fly
- speciellt
- Även
- exempel
- utförande
- Förklarar
- Exploit
- utnyttjande
- utnyttjas
- utnyttja
- sträcker
- Leverans
- Filer
- firefox
- Förnamn
- fel
- För
- från
- allmänhet
- Går
- Google Chrome
- Regeringen
- statligt sponsrat
- Odling
- hackare
- Har
- he
- här.
- html
- HTTPS
- identifierade
- identifiera
- if
- Inverkan
- påverkade
- med Esport
- in
- I andra
- Inklusive
- informationen
- Initiativ
- ingång
- Intelligens
- undersöka
- isolering
- Utfärdad
- IT
- DESS
- sig
- JavaScript
- jpg
- bara
- större
- leda
- ledande
- Leads
- sannolikt
- Lot
- Maskinen
- Beslutsfattare
- malware
- många
- märkning
- Materialet
- betyder
- mikrofon
- Microsoft
- Microsoft Edge
- Mobil
- Mobil enheter
- Modulerna
- månader
- multipel
- behov
- Nej
- noterade
- Anmärkningar
- antal
- of
- on
- öppet
- öppen källkod
- öppnas
- or
- organisationer
- ursprung
- OS
- Övriga
- Övrigt
- ut
- utanför
- egen
- sida
- Lappa
- perspektiv
- Plattformar
- plato
- Platon Data Intelligence
- PlatonData
- poäng
- Populära
- möjlig
- potentiell
- potentiellt
- process
- Profil
- skydda
- sätta
- snabbt
- RAM
- nå
- verklig
- realtid
- nyligen
- meddelanden
- förblir
- avlägsen
- Rapporterad
- Kräver
- forskning
- resultera
- Risk
- risker
- Körning
- s
- Nämnda
- Samma
- sandlåda
- säger
- scenarier
- Forskare
- söka
- säkerhet
- känslig
- delas
- skall
- signifikant
- eftersom
- webbplats
- Områden
- So
- Mjukvara
- några
- Källa
- Sponsrade
- starta
- Steg
- Fortfarande
- leverera
- leveranskedjan
- stödja
- yta
- överraskning
- System
- Ta
- Målet
- riktade
- mål
- den där
- Smakämnen
- deras
- Där.
- därför
- Dessa
- de
- detta
- de
- fastän?
- hot
- hotar
- Genom
- Bunden
- tid
- till
- topp
- verkligen
- typer
- typiskt
- under
- enhet
- Uppdatering
- brådskande
- Användning
- användning
- Användare
- användare
- användningar
- med hjälp av
- vanligen
- försäljare
- Victim
- sårbarheter
- sårbarhet
- Sårbara
- Webbplats
- när
- medan
- bredare
- utbredd
- Vild
- kommer
- med
- inom
- utan
- ord
- skulle
- zephyrnet
