11.3 C
New York

Google patcht Chrome's vijfde nuldag van het jaar

Datum:

Google heeft de vijfde actief misbruikte zero-day-kwetsbaarheid die dit jaar in Chrome is ontdekt, gepatcht als een van een reeks fixes die zijn opgenomen in een stabiele kanaalupdate die woensdag is uitgebracht.

De bug, bijgehouden als CVE-2022-2856 en beoordeeld als hoog op het Common Vulnerability Scoring System (CVSS), wordt geassocieerd met "onvoldoende validatie van niet-vertrouwde input in Intents", aldus het advies geplaatst door Google.

Google dankt Ashley Shen en Christian Resell van zijn Google Threat Analysis Group (TAG) voor het melden van de zero-day-bug, die zou kunnen leiden tot uitvoering van willekeurige code, op 19 juli. Het advies onthulde ook 10 andere patches voor verschillende andere Chrome-problemen.

Intents zijn een deep linking-functie op het Android-apparaat in de Chrome-browser die URI-schema's verving, die dit proces eerder afhandelden, volgens Branch, een bedrijf dat verschillende koppelingsmogelijkheden biedt voor mobiele applicaties.

"In plaats van window.location of een iframe.src toe te wijzen aan het URI-schema, moeten ontwikkelaars in Chrome hun intentiestring gebruiken zoals gedefinieerd in dit document", legt het bedrijf uit op zijn website. Intent "voegt complexiteit toe", maar "verwerkt automatisch het geval dat de mobiele app niet wordt geïnstalleerd" binnen links, volgens de post.

Onvoldoende validatie wordt geassocieerd met invoervalidatie, een veelgebruikte techniek voor het controleren van potentieel gevaarlijke invoer om ervoor te zorgen dat ze veilig zijn voor verwerking binnen de code, of bij communicatie met andere componenten, volgens de Common Weakness Enumeration-site van MITRE.

"Als software invoer niet goed valideert, kan een aanvaller de invoer maken in een vorm die niet wordt verwacht door de rest van de applicatie", aldus een bericht op de site. "Dit zal ertoe leiden dat delen van het systeem onbedoelde invoer ontvangen, wat kan resulteren in een gewijzigde controlestroom, willekeurige controle over een bron of het uitvoeren van willekeurige code."

Uitbuitingen afweren

Zoals gebruikelijk heeft Google geen specifieke details van de bug bekendgemaakt totdat deze op grote schaal is gepatcht om te voorkomen dat bedreigingsactoren er verder misbruik van maken, een strategie die volgens een beveiligingsprofessional een verstandige strategie is.

"Het publiceren van details over een actief misbruikte zero-day-kwetsbaarheid, net op het moment dat een patch beschikbaar komt, kan ernstige gevolgen hebben, omdat het tijd kost om beveiligingsupdates uit te rollen naar kwetsbare systemen en aanvallers er alles aan doen om dit soort fouten te misbruiken," merkte op. Satnam Narang, senior research engineer bij cyberbeveiligingsbedrijf Houdbaar, in een e-mail aan Threatpost.

 Informatie achterhouden is ook goed, aangezien andere Linux-distributies en -browsers, zoals Microsoft Edge, ook code bevatten die is gebaseerd op Google's Chromium Project. Deze kunnen allemaal worden beïnvloed als een exploit voor een kwetsbaarheid wordt vrijgegeven, zei hij.

"Het is extreem waardevol voor verdedigers om die buffer te hebben", voegde Narang eraan toe.

Hoewel de meeste oplossingen in de update betrekking hebben op kwetsbaarheden die als hoog of gemiddeld risico worden beoordeeld, heeft Google wel een kritieke bug gepatcht die werd bijgehouden als CVE-2022-2852, een use-after-free-probleem in FedCM gemeld door Sergei Glazunov van Google Project Zero op 8 augustus. FedCM - een afkorting voor de Federated Credential Management API - biedt een use-case-specifieke abstractie voor federatieve identiteitsstromen op het web, volgens Google.

Vijfde Chrome 0Day-patch tot nu toe

De zero-day-patch is de vijfde Chrome-bug die actief wordt aangevallen en die Google dit jaar tot nu toe heeft gepatcht.

In juli heeft het bedrijf een actief misbruik gemaakt van heap buffer overflow fout gevolgd als CVE-2022-2294 in WebRTC, de engine die Chrome zijn realtime communicatiemogelijkheden geeft, terwijl het in mei een afzonderlijke bufferoverloopfout was die werd gevolgd als CVE-2022-2294 en onder actieve aanval die werd geslagen met een patch.

In april heeft Google gepatcht CVE-2022-1364, een typeverwarringsfout die het gebruik van de V8 JavaScript-engine door Chrome beïnvloedde en waarop aanvallers al hadden toegeslagen. De vorige maand werd een apart type-verwarringsprobleem in V8 gevolgd als: CVE-2022-1096 en ook onder actieve aanval spoorde een haastige patch aan.

In februari was er een oplossing voor de eerste van de Chrome-zero-days van dit jaar, een gebruik-na-free-fout in de animatiecomponent van Chrome die werd bijgehouden als CVE-2022-0609 dat al werd aangevallen​ Later het werd onthuld dat Noord-Koreaanse hackers de fout misbruikten weken voordat het werd ontdekt en gepatcht.

  • Coinsmart. Europa's beste Bitcoin- en crypto-uitwisseling.Klik Hier
  • Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
  • Bron: https://threatpost.com/google-patches-chromes-fifth-zero-day-of-the-year/180432/

Gerelateerde artikelen

spot_img

Gerelateerde artikelen

spot_img

Recente artikelen

spot_img