название сайта
Авторизация

В обновлении Chrome содержится 14 важных исправлений безопасности

689jj 2021-06-11, 12:10 Просмотров: 141
Пользователи все еще останавливаются на предыдущем анонсе Microsoft Patch Tuesday, который, по их мнению, был довольно плохим, с исправлением шести реальных уязвимостей.

Не говоря уже о том, что похоронено глубоко в остатках кода веб-рендеринга MSHTML Internet Explorer.

14 исправлений безопасности в одном обновлении
Теперь Google выпускает рекомендации по безопасности Chrome, которые вы, возможно, захотите узнать, включают исправление нулевого дня (CVE-2021-30551) для движка JavaScript Chrome, а также другие 14 официально перечисленных исправлений безопасности.

Для тех, кто все еще не знаком с этим термином, нулевой день - время воображение, поскольку этот тип кибератаки происходит менее чем за день с момента обнаружения уязвимости в системе безопасности.

Следовательно, это не дает разработчикам достаточно времени для устранения или снижения потенциальных рисков, связанных с этой уязвимостью.

Подобно Mozilla, Google также объединяет другие потенциальные ошибки, которые он обнаружил, используя общие методы поиска ошибок, перечисленные как Различные исправления от внутреннего аудита, фаззинга и других инициатив.

Фаззеры могут произвести, если не миллионы, сотни миллионов тестовых входных данных за период испытаний.

Однако единственная информация, которую они должны хранить, - это информация о тех случаях, когда программа ведет себя неправильно или дает сбой.

Это означает, что их можно использовать позже в процессе, как отправную точку для охотников за ошибками, что также сэкономит много времени и рабочей силы.

Ошибки эксплуатируются в дикой природе
Google начинает с упоминания ошибки нулевого дня, заявляя, что они] осведомлены о существовании эксплойта для CVE-2021-30551.

Эта конкретная ошибка указана как путаница типов в V8, где V8 представляет часть Chrome, которая выполняет код JavaScript.

Путаница типов означает, что вы можете предоставить V8 один элемент данных, в то же время заставляя JavaScript обрабатывать его так, как если бы это было что-то совершенно другое, потенциально обходя безопасность или даже выполняя неавторизованный код.

Как многие из вас, возможно, знают, нарушения безопасности JavaScript, которые могут быть вызваны кодом JavaScript, встроенным в веб-страницу, чаще всего приводят к эксплойтам RCE или даже удаленному выполнению кода.

При всем этом Google не уточняет, можно ли использовать ошибку CVE-2021-30551 для жесткого удаленного выполнения кода, что обычно означает, что пользователи уязвимы для кибератак.

Чтобы понять, насколько это серьезно, представьте, что просмотр веб-сайта без фактического нажатия на всплывающие окна может позволить злонамеренным третьим лицам запускать код незаметно и внедрять вредоносное ПО на ваш компьютер.

Таким образом, CVE-2021-30551 получает только высокий рейтинг, а ошибка, которой нет в природе (CVE-2021-30544), классифицируется как критическая.

Возможно, критическое упоминание об ошибке CVE-2021-30544 было приписано ей, потому что она могла быть использована для RCE.

Однако на данный момент нет никаких предположений, что кто-либо, кроме Google, а также исследователей, которые сообщили об этом, знает, как это сделать.

Компания также упоминает, что доступ к сведениям об ошибках и ссылкам может быть ограничен до тех пор, пока большинство пользователей не обновят исправление.

Что вы думаете о последнем патче нулевого дня от Google? Поделитесь с нами своими мыслями в разделе комментариев ниже.
Читайте также
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
EZHELP.RU © 2020 Карта сайта Сейчас онлайн: 15
Авторизация