Vain viikko sitten, Google otti käyttöön Chrome Desktop-selaimen päivitettävän päivityksen , joka sisälsi useita tärkeitä suojauksia päivitykset. Kyseisessä päivityksessä Chrome-kehittäjätiimi paljasti, että yhtä heikkouksista oli hyödynnetty aktiivisesti luonnossa. Kun näin tapahtuu, sitä kutsutaan Zero-Day-hyväksikäytöksi, koska ohjelmistokehittäjät eivät tienneet heikkoutta ennen hyökkäystä. Uusin Chrome-selaimen päivitys sisältää vain 4 suojauskorjausta, mutta jokainen neljästä on merkitty korkealla, mikä tarkoittaa, että ne ovat tärkeitä päivityksiä. Yksi korjaustiedostoista sisältää korjauksen haavoittuvuuteen, jonka Google on vahvistanut hyödyntäneen luonnossa.
Virhe, CVE-2021-30554, ilmoitti tuntematon lähde ja löydön palkkio on vielä määrittelemättä. Google kieltäytyi antamasta tietoja siitä, miten virhettä tarkalleen hyödynnettiin. Tämä antaa käyttäjille todennäköisesti riittävästi aikaa päivittää selain uusien hyökkäysten estämiseksi. Tämä vika liittyy WebGL: ään, ja se on tunnistettu haavoittuvuudeksi”käyttäjä ilmaisen jälkeen”. Mitä tuo tarkoittaa? Tässä on lyhyt kuvaus siitä, mitä se tarkoittaa.
Mainokset
Use After Free tarkoittaa nimenomaan yritystä käyttää muistia sen vapauttamisen jälkeen, mikä voi aiheuttaa ohjelman kaatumisen tai, jos käytössä on After-Free-virhe, se voi johtaa mielivaltaisen koodin suorittamiseen tai jopa ottaa käyttöön koodin kaikki etäsuorituskyvyt.
Tarpeetonta sanoa, että on todennäköisesti hyvä ajatus mennä eteenpäin ja varmistaa, että Chrome-selaimesi on ajan tasalla. Viimeisin versio, joka sisältää tämän virheen korjauksen, on 91.0.4472.114. Jos käytät Chromea Windows-, Linux-tai macOS-käyttöjärjestelmässä, sinun kannattaa siirtyä asetusvalikossa Tietoja Chrome-osiosta ja tarkistaa päivitys. Jos matematiikkani on oikein, tämä on seitsemäs tunnettu nollapäivän hyödyntäminen Chrome-selaimelle tänä vuonna. Onneksi näyttää siltä, että se löydettiin ja paikattiin hyvin nopeasti. Alla on neljä suojauskorjausta ja niitä vastaavat CVE-osoitteet.
- [$ TBD] [ 1219857 ] Korkea CVE-2021-30554: Käytä ilmaiseksi ilmaiseksi WebGL: ssä. Nimetön ilmoitti 2021-06-15
- [10000 dollaria] [ 1215029 ]
Korkea CVE-2021-30555: Käytä ilmaisen jakamisen jälkeen. David Erceg ilmoitti 2021-06-01 - [7500 dollaria] [ 1212599 ] Korkea CVE-2021-30556: Käytä ilmaiseksi WebAudiossa. Yangkang (@dnpushme) ilmoitti 360 ATA: sta 2021-05-24
- [10000 dollaria] [ 1202102 ] Korkea CVE-2021-30557: Käytä ilmaiseksi ilmaiseksi TabGroupsissa. David Erceg raportoi 2021-04-23
Lähde: Chrome-julkaisu
Mainokset