Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

Chrome lost 8e zero-day van 2022 op - controleer nu uw versie

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 271
by Paul Ducklin

Google heeft zojuist Chrome's achtste gepatcht nul-dag gat van het jaar tot nu toe.

Zero-days zijn bugs waarvoor er nul dagen waren die je proactief had kunnen updaten...

…omdat cybercriminelen de bug niet alleen als eerste vonden, maar ook ontdekten hoe ze deze konden misbruiken voor snode doeleinden voordat er een patch werd voorbereid en gepubliceerd.

De snelle versie van dit artikel is dus: ga naar die van Chrome Menu met drie stippen (⋮), kies Help > Over Chrome, en controleer of u versie 107.0.5304.121 of later.

Zero-days blootleggen

Twintig jaar geleden werd zero-day vaak heel snel algemeen bekend, meestal om een ​​(of beide) van de volgende twee redenen:

  • Er is een zichzelf verspreidend virus of worm vrijgegeven om de bug te misbruiken. Dit had niet alleen de neiging om de aandacht te vestigen op het beveiligingslek en hoe het werd misbruikt, maar ook om ervoor te zorgen dat op zichzelf staande, werkende kopieën van de kwaadaardige code wijd en zijd werden verspreid zodat onderzoekers ze konden analyseren.
  • Een bugjager die niet gemotiveerd was door geld te verdienen, gaf voorbeeldcode vrij en schepte erover op. Paradoxaal genoeg schaadde dit misschien tegelijkertijd de beveiliging door een "gratis geschenk" aan cybercriminelen te geven om meteen bij aanvallen te gebruiken, en hielp het de beveiliging door onderzoekers en leveranciers aan te trekken om het snel te repareren of met een tijdelijke oplossing te komen.

Tegenwoordig is het zero-day-spel nogal anders, omdat moderne verdedigingen de neiging hebben om softwarekwetsbaarheden moeilijker te exploiteren.

De defensieve lagen van vandaag omvatten: extra beveiligingen die in de besturingssystemen zelf zijn ingebouwd; veiligere tools voor softwareontwikkeling; veiligere programmeertalen en codeerstijlen; en krachtigere tools voor het voorkomen van cyberdreigingen.

In de vroege jaren 2000 bijvoorbeeld – het tijdperk van supersnelle verspreiding van virussen zoals Code rood en SQL Slammer – bijna elke stackbufferoverflow, en veel, zo niet de meeste heapbufferoverflows, kunnen in korte tijd worden omgezet van theoretische kwetsbaarheden in praktische exploits.

Met andere woorden, het vinden van exploits en het "droppen" van 0-days was soms bijna net zo eenvoudig als het vinden van de onderliggende bug.

En met veel gebruikers die ermee werken Administrator Hoewel ze altijd privileges hadden, zowel op het werk als thuis, hoefden aanvallers zelden manieren te vinden om exploits aan elkaar te koppelen om een ​​geïnfecteerde computer volledig over te nemen.

Maar in de jaren 2020, werkbaar exploits voor het uitvoeren van externe code - bugs (of ketens van bugs) die een aanvaller op betrouwbare wijze kan gebruiken om malware op uw computer te implanteren, bijvoorbeeld door u ertoe te verleiden een enkele pagina op een website met boobytraps te bekijken - zijn over het algemeen veel moeilijker te vinden en veel waard daardoor meer geld in de cyberunderground.

Simpel gezegd, degenen die tegenwoordig zero-day-exploits in handen krijgen, hebben de neiging er niet meer over op te scheppen.

Ze hebben ook de neiging om ze niet te gebruiken bij aanvallen die het "hoe en waarom" van de inbraak duidelijk zouden maken, of die ertoe zouden leiden dat werkende voorbeelden van de exploitcode direct beschikbaar komen voor analyse en onderzoek.

Als gevolg hiervan worden zero-days tegenwoordig vaak pas opgemerkt nadat een bedreigingsteam is ingeschakeld om een ​​aanval te onderzoeken die al is geslaagd, maar waarbij veelgebruikte inbraakmethoden (bijv. phishing-wachtwoorden, ontbrekende patches of vergeten servers) niet lijken te werken. zijn de oorzaak geweest.

Bufferoverloop zichtbaar

In dit geval nu officieel aangewezen CVE-2022-4135, het beestje werd gemeld door Google's eigen Threat Analysis Group, maar werd niet proactief gevonden, aangezien Google toegeeft dat dit wel het geval is "zich ervan bewust dat er een exploit […] bestaat in het wild."

De kwetsbaarheid is gegeven a Hoge ernst, en wordt eenvoudig beschreven als: Heapbufferoverloop in GPU.

Bufferoverflows betekenen over het algemeen dat code van een deel van een programma buiten de geheugenblokken schrijft die er officieel aan zijn toegewezen, en gegevens vertrapt waarop later door een ander deel van het programma wordt vertrouwd (en daarom impliciet vertrouwd zal worden).

Zoals je je kunt voorstellen, kan er veel misgaan als een bufferoverloop op een slinkse manier kan worden geactiveerd om een ​​onmiddellijke programmacrash te voorkomen.

De overflow kan bijvoorbeeld worden gebruikt om een ​​bestandsnaam te vergiftigen die een ander deel van het programma gaat gebruiken, waardoor het gegevens wegschrijft waar dat niet zou moeten; of om de bestemming van een netwerkverbinding te wijzigen; of zelfs om de locatie in het geheugen te wijzigen van waaruit het programma vervolgens code zal uitvoeren.

Google zegt niet expliciet hoe deze bug kan worden (of is) misbruikt, maar het is verstandig om aan te nemen dat een soort uitvoering van code op afstand, wat grotendeels synoniem is met "sluikse implantatie van malware", mogelijk is, aangezien de bug omvat een verkeerd beheer van het geheugen.

Wat te doen?

Chrome en Chromium worden geüpdatet naar 107.0.5304.121 op Mac en Linux, en naar 107.0.5304.121 or 107.0.5304.122 op Windows (nee, we weten niet waarom er twee verschillende versies zijn), dus zorg ervoor dat je versienummers hebt die gelijk zijn aan of recenter zijn dan die.

Om uw Chrome-versie te controleren en een update af te dwingen als u achterloopt, gaat u naar de Menu met drie stippen (⋮) en kies Help > Over Chrome.

Microsoft Edge is, zoals u waarschijnlijk weet, gebaseerd op de Chromium-code (de open-source kern van Chrome), maar heeft geen officiële update gehad sinds de dag voordat de dreigingsonderzoekers van Google deze bug registreerden (en heeft geen update gehad waarin expliciet alle beveiligingsoplossingen worden vermeld sinds 2022-11-10).

We kunnen u dus niet vertellen of Edge getroffen is, of dat u een update voor deze bug mag verwachten, maar we raden u aan de Microsoft-updates in de gaten te houden officiële release-opmerkingen voor de zekerheid.

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.

Chat met ons

Hallo daar! Hoe kan ik u helpen?