Chrome виправляє 8-й нульовий день 2022 року – перевірте свою версію зараз

Google щойно виправив восьмий патч Chrome діра нульового дня року до цього часу.

Нульові дні – це помилки, для яких було нуль днів, які ви могли б оновити завчасно…

…оскільки кіберзлочинці не лише першими знайшли помилку, але й з’ясували, як використати її для підлих цілей, перш ніж було підготовлено та опубліковано виправлення.

Отже, коротка версія цієї статті: перейдіть до Chrome Трикрапкове меню (⋮), виберіть Документи > Про Chromeі перевірте, чи є у вас версія 107.0.5304.121 або пізніше.

Розкриття нульових днів

Два десятиліття тому нульові дні часто ставали широко відомими дуже швидко, як правило, з однієї (або обох) із двох причин:

• Для використання помилки було випущено вірус або хробак, що саморозповсюджується. Це мало не тільки привернути увагу до діри в безпеці та того, як нею зловживали, але й забезпечити, щоб автономні робочі копії шкідливого коду були розповсюджені для дослідників для аналізу.
• Мисливець за помилками, не мотивований зароблянням грошей, випустив зразок коду та похвалився ним. Як це не парадоксально, можливо, це водночас завдало шкоди безпеці, передавши «безкоштовний подарунок» кіберзлочинцям для негайного використання в атаках, і допомогло безпеці, залучивши дослідників і постачальників, щоб виправити це або швидко знайти обхідний шлях.

Сьогодні гра нульового дня дещо інша, оскільки сучасні засоби захисту, як правило, ускладнюють використання вразливостей програмного забезпечення.

Сучасні захисні рівні включають: додаткові засоби захисту, вбудовані в самі операційні системи; більш безпечні засоби розробки програмного забезпечення; більш безпечні мови програмування та стилі кодування; і більш потужні засоби запобігання кіберзагрозам.

Наприклад, на початку 2000-х – в епоху надшвидко поширюваних вірусів, таких як Червоний кодекс і SQL Slammer – майже будь-яке переповнення буфера стека, і багато, якщо не більшість переповнень буфера купи, можна швидко перетворити з теоретичних уразливостей на практичні експлойти.

Іншими словами, пошук експлойтів і «скидання» нульових днів іноді було майже таким же простим, як і пошук основної помилки.

І з багатьма користувачами, які працюють із Administrator привілеї весь час, як на роботі, так і вдома, зловмисникам рідко потрібно було знайти способи об’єднати експлойти разом, щоб повністю заволодіти зараженим комп’ютером.

Але в 2020-х працездатний експлойти віддаленого виконання коду – помилки (або ланцюжки помилок), які зловмисник може надійно використати для встановлення зловмисного програмного забезпечення на вашому комп’ютері, просто спонукаючи вас переглянути одну сторінку на мінованому веб-сайті, наприклад, – зазвичай набагато важче знайти, і вони коштують багато в результаті більше грошей у кіберпідпіллі.

Простіше кажучи, ті, хто зараз володіють експлойтами нульового дня, як правило, більше не вихваляються ними.

Вони також схильні не використовувати їх в атаках, які зробили б очевидним «як і чому» вторгнення або призвели б до того, що робочі зразки коду експлойту стають легко доступними для аналізу та дослідження.

Як наслідок, нульові дні часто помічають лише після виклику групи реагування на загрози для розслідування атаки, яка вже була успішною, але де звичайні методи вторгнення (наприклад, підроблені паролі, відсутні патчі або забуті сервери), здається, не були причиною.

Виявлено переповнення буфера

При цьому тепер офіційно позначено CVE-2022-4135, помилка було повідомлено власною групою аналізу загроз Google, але не було знайдено заздалегідь, оскільки Google визнає, що це «усвідомлюючи, що експлойт […] існує в дикій природі».

Уразливість отримала a Високий тяжкості, і описується просто як: Переповнення буфера купи в GPU.

Переповнення буфера зазвичай означає, що код однієї частини програми записує поза межами офіційно виділених для нього блоків пам’яті та пошкоджує дані, на які пізніше покладатиметься (і тому неявно довірятиме) інша частина програми.

Як ви можете собі уявити, багато чого може піти не так, якщо переповнення буфера може бути викликано хитрим способом, щоб уникнути негайного збою програми.

Переповнення може бути використане, наприклад, для псування назви файлу, який збирається використати якась інша частина програми, змусивши її записувати дані туди, куди не слід; або для зміни місця призначення мережевого підключення; або навіть змінити розташування в пам'яті, з якого програма виконуватиме наступний код.

Google прямо не вказує, як цю помилку можна було використати (чи було використано), але розумно припустити, що певне віддалене виконання коду, яке значною мірою є синонімом «таємного впровадження шкідливого програмного забезпечення», можливе, враховуючи, що помилка передбачає неправильне управління пам'яттю.

Що ж робити?

Chrome і Chromium оновлюються до 107.0.5304.121 на Mac і Linux, а також 107.0.5304.121 or 107.0.5304.122 у Windows (ні, ми не знаємо, чому існують дві різні версії), тому переконайтеся, що номери версій у вас однакові або новіші за ці.

Щоб перевірити свою версію Chrome і примусово оновити, якщо ви відстаєте, перейдіть на сторінку Трикрапкове меню (⋮) і виберіть Документи > Про Chrome.

Microsoft Edge, як ви, мабуть, знаєте, базується на коді Chromium (ядро Chrome з відкритим вихідним кодом), але не мав офіційного оновлення з того дня, як дослідники загроз Google зареєстрували цю помилку (і не мали оновлення який явно містить усі виправлення безпеки з 2022 листопада 11 року).

Отже, ми не можемо сказати вам, чи вплинуло це на Edge, чи варто очікувати оновлення для цієї помилки, але ми рекомендуємо стежити за інформацією Microsoft офіційні нотатки про випуск про всяк випадок.

---