Chrome, 8'nin 2022. sıfır gününü düzeltiyor - sürümünüzü şimdi kontrol edin

Google, Chrome'un sekizinci sürümünü yamaladı sıfır gün deliği şimdiye kadar yılın.

Sıfır gün, proaktif olarak güncelleyebileceğiniz sıfır gün olan hatalardır…

…çünkü siber suçlular önce hatayı bulmakla kalmadılar, aynı zamanda bir yama hazırlanıp yayınlanmadan önce onu hain amaçlarla nasıl kullanacaklarını da anladılar.

Bu nedenle, bu makalenin hızlı sürümü şu şekildedir: Chrome'a ​​gidin Üç noktalı menü (⋮), seç Destek > Chrome hakkındave sürümünüz olup olmadığını kontrol edin 107.0.5304.121 veya sonrası.

Sıfır günleri ortaya çıkarmak

Yirmi yıl önce, sıfır gün genellikle iki nedenden biri (veya her ikisi) nedeniyle çok hızlı bir şekilde yaygın olarak bilinir hale geldi:

• Hatadan yararlanmak için kendi kendine yayılan bir virüs veya solucan yayınlandı. Bu, yalnızca güvenlik açığına ve nasıl kötüye kullanıldığına dikkat çekmekle kalmayıp, aynı zamanda kötü amaçlı kodun kendi kendine yeten, çalışan kopyalarının araştırmacıların analiz etmesi için her yere dağılmasını sağladı.
• Para kazanmakla motive olmayan bir böcek avcısı, örnek kod yayınladı ve bununla övündü. Paradoksal olarak, belki de bu, siber suçlulara saldırılarda hemen kullanmaları için "ücretsiz bir hediye" vererek aynı anda güvenliğe zarar verdi ve araştırmacıları ve satıcıları sorunu düzeltmeye veya hızlı bir şekilde geçici bir çözüm bulmaya çekerek güvenliğe yardımcı oldu.

Bu günlerde, sıfır gün oyunu oldukça farklı çünkü çağdaş savunmalar, yazılım güvenlik açıklarından yararlanmayı zorlaştırma eğiliminde.

Günümüzün savunma katmanları şunları içerir: işletim sistemlerinin kendisinde yerleşik ek korumalar; daha güvenli yazılım geliştirme araçları; daha güvenli programlama dilleri ve kodlama stilleri; ve daha güçlü siber tehdit önleme araçları.

2000'lerin başında, örneğin - süper hızlı yayılan virüsler çağı gibi Kırmızı Kod ve SQL Slammer – neredeyse tüm yığın arabellek taşması ve yığın arabellek taşmalarının çoğu olmasa da çoğu, teorik güvenlik açıklarından hızlı bir şekilde uygulanabilir istismarlara dönüştürülebilir.

Başka bir deyişle, açıkları bulmak ve 0-günleri "düşürmek" bazen neredeyse en başta altta yatan hatayı bulmak kadar basitti.

Ve çalışan birçok kullanıcı ile Administrator hem işte hem de evde her zaman ayrıcalıklara sahip olduğundan, saldırganların virüs bulaşmış bir bilgisayarı tamamen ele geçirmek için güvenlik açıklarını bir araya getirmenin yollarını nadiren bulmaları gerekiyordu.

Ancak 2020'lerde uygulanabilir uzaktan kod yürütme istismarları – bir saldırganın, örneğin bubi tuzaklı bir web sitesinde tek bir sayfayı görüntülemenizi sağlayarak bilgisayarınıza kötü amaçlı yazılım yerleştirmek için güvenilir bir şekilde kullanabileceği hatalar (veya hata zincirleri) - genellikle bulunması çok daha zordur ve çok değerlidir sonuç olarak siber yeraltında daha fazla para.

Basitçe söylemek gerekirse, bu günlerde sıfır gün istismarlarını ele geçirenler artık bunlarla övünme eğiliminde değiller.

Ayrıca, izinsiz girişin "nasıl ve neden"ini açık hale getirecek veya istismar kodunun çalışan örneklerinin analiz ve araştırma için hazır hale gelmesine yol açacak saldırılarda bunları kullanmama eğilimindedirler.

Sonuç olarak, sıfır günler genellikle bu günlerde yalnızca bir tehdit yanıt ekibi zaten başarılı olmuş bir saldırıyı araştırmak üzere çağrıldıktan sonra fark edilir, ancak yaygın izinsiz giriş yöntemleri (ör. oltalama parolaları, eksik yamalar veya unutulmuş sunucular) başarılı görünmüyor. sebep olmuştur.

Arabellek taşması açığa çıktı

Bu durumda, artık resmen belirlenmiş CVE-2022-4135, böcek bildirilmiştir Google'ın kendi Tehdit Analizi Grubu tarafından, ancak proaktif olarak bulunamadı, çünkü Google bunun olduğunu kabul ediyor. "Bir açıktan yararlanmanın [...] vahşi ortamda var olduğunun farkında."

Güvenlik açığı verildi Yüksek şiddeti ve basitçe şöyle tanımlanır: GPU'da yığın arabelleği taşması.

Arabellek taşmaları genellikle, bir programın bir bölümündeki kodun kendisine resmi olarak tahsis edilen bellek bloklarının dışına yazıldığı ve daha sonra programın başka bir bölümü tarafından güvenilecek (ve bu nedenle zımnen güvenilecek olan) verileri çiğnediği anlamına gelir.

Tahmin edebileceğiniz gibi, ani bir program çökmesini önleyecek şekilde hileli bir şekilde bir arabellek taşması tetiklenebiliyorsa ters gidebilecek pek çok şey vardır.

Taşma, örneğin, programın başka bir bölümünün kullanmak üzere olduğu bir dosya adını zehirleyerek, olmaması gereken yere veri yazmasına neden olmak için kullanılabilir; veya bir ağ bağlantısının hedefini değiştirmek için; hatta programın bir sonraki kodu yürüteceği bellekteki konumu değiştirmek için bile.

Google, bu hatanın nasıl kullanılabileceğini (veya kullanıldığını) açıkça söylemiyor, ancak büyük ölçüde "kötü amaçlı yazılımın gizlice yerleştirilmesi" ile eşanlamlı olan bir tür uzaktan kod yürütmenin mümkün olduğunu varsaymak akıllıca olacaktır. hafızanın yanlış yönetilmesini içerir.

Ne yapalım?

Chrome ve Chromium şu şekilde güncellenir: 107.0.5304.121 Mac ve Linux'ta ve 107.0.5304.121 or 107.0.5304.122 Windows'ta (hayır, neden iki farklı sürüm olduğunu bilmiyoruz), bu nedenle sürüm numaralarınızın bunlara eşit veya daha yeni olduğunu kontrol ettiğinizden emin olun.

Chrome sürümünüzü kontrol etmek ve gerideyseniz bir güncellemeyi zorunlu kılmak için şuraya gidin: Üç noktalı menü (⋮) ve seç Destek > Chrome hakkında.

Microsoft Edge, muhtemelen bildiğiniz gibi, Chromium kodunu (Chrome'un açık kaynak çekirdeği) temel alır, ancak Google'ın tehdit araştırmacılarının bu hatayı kaydetmesinden önceki günden beri resmi bir güncellemesi olmadı (ve bir güncellemesi olmadı) 2022-11-10'dan bu yana tüm güvenlik düzeltmelerini açıkça listeleyen).

Bu nedenle, Edge'in etkilenip etkilenmediğini veya bu hata için bir güncelleme beklemeniz gerekip gerekmediğini size söyleyemeyiz, ancak Microsoft'un güncellemelerini takip etmenizi öneririz. resmi sürüm notları her ihtimale karşı.

---