Zephyrnet-Logo

Generative Datenintelligenz

Cybersicherheit

Google patcht „in-the-wild“ Chrome Zero-Day – jetzt aktualisieren!

Neuauflage von Plato
Neuauflage von Plato

Datum:

Views: 152

by
Paul Ducklin

Das neueste Update von Google für den Chrome-Browser behebt eine unterschiedliche Anzahl von Fehlern, je nachdem, ob Sie eingeschaltet sind Android, Windows oder Mac, und je nachdem, ob Sie den „Stable Channel“ oder den „erweiterter stabiler Kanal".

Machen Sie sich keine Sorgen, wenn Sie die Fülle der Google-Blogposts verwirrend finden…

… haben wir auch, also haben wir versucht, unten eine allumfassende Zusammenfassung zu erstellen.

Das Stabiler Kanal ist die allerneueste Version, inklusive aller neuen Browser-Features, aktuell nummeriert Chrome 103.

Das Erweiterter stabiler Kanal bezeichnet sich selbst als Chrome 102, und verfügt nicht über die neuesten Funktionen, aber über die neuesten Sicherheitsfixes.

Drei CVE-nummerierte Fehler sind in den drei oben aufgeführten Bulletins aufgeführt:

  • CVE-2022-2294: Pufferüberlauf in WebRTC. Ein Zero-Day-Loch, das der Internetkriminalität bereits bekannt ist und in freier Wildbahn aktiv ausgenutzt wird. Dieser Fehler tritt in allen oben aufgeführten Versionen auf: Android, Windows und Mac, sowohl in den Varianten „Stable“ als auch „Extended Stable“. WebRTC ist die Abkürzung für „Web-Echtzeit-Kommunikation“, die von vielen Audio- und Video-Sharing-Diensten verwendet wird, die Sie verwenden, z. B. für Remote-Meetings, Webinare und Online-Telefonate.
  • CVE-2022-2295: Typenverwirrung in V8. Die V8 bezieht sich auf die JavaScript-Engine von Google, die von jeder Website verwendet wird, die JavaScript-Code enthält, was im Jahr 2022 fast jede Website da draußen ist. Dieser Fehler tritt in Android, Windows und Mac auf, aber anscheinend nur in der Chrome 103-Variante („Stable Channel“).
  • CVE-2022-2296: Nachträgliche Nutzung in Chrome OS Shell. Dies gilt für den „stabilen Kanal“ unter Windows und Mac, obwohl die Chrome OS-Shell, wie der Name schon sagt, ein Teil davon ist Chrome OS, das weder Windows- noch Mac-basiert ist.

Darüber hinaus hat Google gegen eine Reihe von Fehlern ohne CVE-Nummer gepatcht, die gemeinsam mit gekennzeichnet sind Fehler-ID 1341569.

Diese Patches bieten eine Menge proaktiver Korrekturen basierend auf „internen Audits, Fuzzing und anderen Initiativen“, was sehr wahrscheinlich bedeutet, dass sie zuvor niemandem bekannt waren und daher nie zu Null gemacht wurden (und nicht mehr werden können). Tageslöcher, was eine gute Nachricht ist.

Linux-Benutzer wurden in den Bulletins dieses Monats noch nicht erwähnt, aber es ist nicht klar, ob das daran liegt, dass keiner dieser Fehler auf die Linux-Codebasis zutrifft, weil die Patches noch nicht ganz fertig für Linux sind oder weil die Fehler es nicht sind als wichtig genug angesehen, um Linux-spezifische Korrekturen zu erhalten.

Fehlertypen erklärt

Um Ihnen ein sehr schnelles Glossar der oben genannten wichtigen Fehlerkategorien zu geben:

  • Pufferüberlauf. Das bedeutet, dass die von einem Angreifer gelieferten Daten in einem Speicherblock abgelegt werden, der für die gesendete Menge nicht groß genug ist. Wenn die zusätzlichen Daten am Ende in Speicherplatz „überlaufen“, der bereits von anderen Teilen der Software verwendet wird, kann dies (oder tut dies in diesem Fall) das Verhalten des Browsers absichtlich und heimtückisch beeinflussen.
  • Typverwirrung. Stellen Sie sich vor, Sie liefern Daten wie den „Preis des Produkts“, die der Browser als einfache Zahl behandeln soll. Stellen Sie sich nun vor, Sie könnten den Browser später dazu bringen, die gerade eingegebene Nummer so zu verwenden, als wäre es eine Speicheradresse oder eine Textzeichenfolge. Eine Nummer, die die Überprüfung bestanden hat, um sicherzustellen, dass es sich um einen legalen Preis handelt, ist wahrscheinlich keine gültige Speicheradresse oder Textzeichenfolge und wäre daher nicht akzeptiert worden, ohne sie unter dem Deckmantel eines anderen Datentyps eingeschmuggelt zu haben. Durch das Einspeisen von Daten, die „gültig-wenn-überprüft-aber-ungültig-wenn-verwendet“ sind, könnte ein Angreifer das Verhalten des Browsers absichtlich unterlaufen.
  • Nachnutzung kostenlos. Dies bedeutet, dass ein Teil des Browsers einen Speicherblock fälschlicherweise weiter verwendet, nachdem er an das System zurückgegeben wurde, um ihn an anderer Stelle neu zuzuweisen. Infolgedessen könnten Daten, die bereits auf Sicherheit geprüft wurden (durch den Code, der davon ausgeht, dass ihnen der betreffende Speicher „gehört“) kurz vor ihrer Verwendung heimlich modifiziert werden, wodurch das Verhalten des Browsers tückisch beeinflusst wird.

Was ist zu tun?

Chrome wird sich wahrscheinlich selbst aktualisieren, aber wir empfehlen trotzdem immer, dies zu überprüfen.

Verwenden Sie unter Windows und Mac Mehr > Hilfe > Über Google Chrome > Google Chrome aktualisieren.

Überprüfen Sie auf Android, ob Ihre Play Store-Apps auf dem neuesten Stand sind.

Nach dem Update suchen Sie nach der Version 102.0.5005.148 wenn Sie auf der „Extended Stable“-Version sind; 103.0.5060.114 wenn Sie auf der „stabilen“ Spur sind; und 103.0.5060.71 auf Android.

Unter Linux sind wir uns nicht sicher, auf welche Versionsnummer Sie achten müssen, aber Sie können dies genauso gut tun Hilfe > Über uns > Aktualisierung Sicherheitstanz trotzdem, um sicherzustellen, dass Sie jetzt die neueste Version zur Verfügung haben.

spot_img

Neueste Intelligenz

spot_img

Copyright @ 2024 Plato Technologies Inc.

Chat mit uns

Hallo! Wie kann ich dir helfen?