science >> Wetenschap >  >> Elektronica

Google had Zero-Day redenen om over updates te schreeuwen

Krediet:CC0 Publiek Domein

Update. Nutsvoorzieningen. Deze minuut. Ga niet voordat je het doet. Dat was het opdringerige bericht van Google donderdag. Er was een Zero-Day-exploit in het spel tegen de Chrome-browser en er was geen speelruimte voor gebruikers om het te negeren totdat ze in een beter humeur waren.

Tegen donderdag, Fossbytes , ZDNet en andere sites voor het bekijken van technologie waren overal in het verhaal. Chrome is een enorm populaire browser en Google is behoorlijk succesvol in zijn branding als een relatief veilige bewaarder van Chrome. Dus elk verhaal van het tegendeel maakte direct nieuws.

U was veilig als uw updatecontrole om te zien of u de nieuwste had, werd weergegeven als versie 72.0.3626.121.

Wie had de beveiligingsfout CVE-2019-5786 ontdekt? Clement Lecigne van Google's Threat Analysis Group werd genoemd.

Lecigne schreef op de Google Security Blog. "Om de Chrome-kwetsbaarheid te verhelpen (CVE-2019-5786), Google heeft op 1 maart een update uitgebracht voor alle Chrome-platforms; deze update is gepusht via de automatische update van Chrome. We raden gebruikers aan om te controleren of Chrome automatisch updaten Chrome al heeft bijgewerkt naar 72.0.3626.121 of hoger."

Dus, ze hadden het over het soort exploit "in het wild, " onbekend, zonder pleister, complicaties kan veroorzaken.

Zoals Kaspersky Lab de betekenis van zero-day uitlegt, "Meestal zijn de makers van programma's snel met het maken van een oplossing die de programmabeveiliging verbetert, echter, soms horen hackers als eerste over de fout en maken er snel misbruik van. Wanneer dit gebeurt, er is weinig bescherming tegen een aanval omdat de softwarefout zo nieuw is."

Of, als Naakte beveiliging plaatst het, dit is "een kwetsbaarheid waarvan de Bad Guys wisten uit te buiten voordat de Good Guys het zelf konden vinden en patchen - waar "zelfs de best geïnformeerde systeembeheerders nul dagen hadden waarin ze proactief hadden kunnen patchen."

Dit was geen leuk experiment; Google was op de hoogte van de kwetsbaarheid die in het wild werd misbruikt. Andrew Whalley twitterde, Neem even de tijd om te controleren of u de nieuwste Chrome gebruikt.

Justin Schuh, Google Chrome-beveiligingsleider, luidde ook de trompet voor Chrome-gebruikers om te controleren op de update. Zijn tweet vóór 5 maart was een openbare aankondiging dat we niet spelen:"...serieus, update uw Chrome-installaties... zoals nu." Waarom, waarom zo gehaast? Omdat Chrome Zero-Day actief werd aangevallen. Catalin Cimpanu in ZDNet zei dat de gepatchte bug actief werd aangevallen op het moment van de patch.

Adash Verma Fossbytes zei, "Hoewel de details schaars zijn, we weten dat de fout betrekking heeft op geheugenbeheer in Chrome's Filereader, dat is een API waarmee web-apps de inhoud kunnen lezen van bestanden die zijn opgeslagen op de computers van gebruikers."

Schuh twitterde:"Deze nieuwste exploit is anders, in die initiële keten richtte Chrome-code rechtstreeks op, en dus moest de gebruiker de browser opnieuw opstarten nadat de update was gedownload."

Op welk niveau was de CVE-2019-5786 dreiging? het is bestempeld als 'Hoog'. ZDNet zei dat Google de beveiligingsfout beschreef als een geheugenbeheerfout in Google Chrome's FileReader - een web-API waarmee web-apps de inhoud van bestanden kunnen lezen die op de computer van de gebruiker zijn opgeslagen.

Dit is wat Abner Li heeft uitgelegd in: 9to5Google . "Deze specifieke aanval heeft betrekking op de FileReader API waarmee websites lokale bestanden kunnen lezen, terwijl de 'Use-after-free'-klasse van kwetsbaarheden - erger nog - de uitvoering van kwaadaardige code mogelijk maakt."

Wat betekent dat, use-after-free kwetsbaarheid? Er treedt een type geheugenfout op wanneer een app toegang probeert te krijgen tot geheugen nadat het is vrijgemaakt/verwijderd uit het toegewezen geheugen van Chrome, zei Cimpani. Hij voegde eraan toe dat de stroom een ​​geheugenbeheerfout bevatte in Google Chrome's FileReader. Cimpanu zei dat de web-API is opgenomen in de belangrijkste browsers waarbij web-apps de inhoud van bestanden lezen die op de computer van de gebruiker zijn opgeslagen.

Hij zei dat een onjuiste behandeling van dit type geheugentoegang kan leiden tot het uitvoeren van kwaadaardige code.

Lang en kort, Google kwam met een oplossing voor de zero day-fout. Lang en kort, er is al een fix uitgegeven

Google verklaarde dat "De toegang tot bugdetails en links beperkt kan worden gehouden totdat een meerderheid van de gebruikers is bijgewerkt met een fix. We zullen ook beperkingen handhaven als de bug bestaat in een bibliotheek van derden waarvan andere projecten op vergelijkbare wijze afhankelijk zijn, maar nog niet opgelost."

In de grotere browserbeveiligingsfoto, tech-watchers beschouwen Chrome waarschijnlijk nog steeds als een van de veiligste die er zijn. GegevensHand maakte een punt dat "De zoekmachinegigant de afgelopen jaren veel middelen heeft geïnvesteerd in het beveiligen van de browser en dat er niet veel beveiligingsinbreuken zijn geweest."

Niettemin, de beveiligingsomgeving moet overleven op een kardinale regel:zeg nooit nooit tegen de mogelijkheid van nieuwe aanvallen. Welke browser is volledig onfeilbaar? Het bekijken waard, Hoewel, is hoe bekwaam de browsereigenaren kunnen zijn in het aanpakken van bedreigingen en het uitbrengen van oplossingen.

Ryan Whitwam, ExtremeTech :"Browsers bevatten zoveel van ons digitale leven nu elke kwetsbaarheid potentieel rampzalig is. Gelukkig is het komt zelden voor dat snode online individuen een ernstige kwetsbaarheid opmerken vóór Google of externe beveiliging onderzoekers ...Het was Google's eigen Threat Analysis Group die de fout in Chrome op 27 februari ontdekte."

© 2019 Wetenschap X Netwerk