Google vydal další nouzový zero-day patch pro Chrome

Google opravil chybu zero-day v prohlížeči Chrome, která již byla zneužívána

Nejnovější aktualizace prohlížeče Chrome opravuje zranitelnost zero-day, kterou identifikovali odborníci z Apple a The Citizen Labs. Zjevně je to tak důležité, že Google zdržuje zveřejňování podrobností. Problém je, že hackeři už toho naplno využívají.

Halda a její zranitelnosti

Google vydal nouzové aktualizace pro novou zero-day zranitelnost v prohlížeči Chrome, čtvrtou od začátku letošního roku.

Kritická chyba zabezpečení s názvem CVE-2023-4863 se týká třídy přetečení vyrovnávací paměti haldy ve WebP.

Halda je datová struktura používaná k implementaci dynamicky alokované paměti pro aplikaci. Velikost haldy je velikost paměti přidělené pro ni operačním systémem.

K chybě zabezpečení přetečení vyrovnávací paměti založené na haldě dochází, když program zapíše do vyrovnávací paměti přidělené na haldě více dat, než dokáže vyrovnávací paměť uložit. Přetečení může vést k přepsání sousedních paměťových buněk a poškození dat.

Foto: Mitchell Luo na Unsplash
Google přestal být lídrem ruského vyhledávání

V některých případech by to také mohlo vést ke schopnosti spustit libovolný kód na zranitelném systému na dálku.

K chybě dochází, když se programu nepodaří adekvátně zkontrolovat velikost dat dodaných uživatelem před jejich zkopírováním do vyrovnávací paměti přidělené haldě.

Abyste tomu zabránili, musíte implementovat správnou kontrolu vstupu a vyrovnávací paměti a používat programovací techniky bezpečné pro paměť, jako je použití jazyků, které automaticky spravují paměť.

Pomocí obrázku. Znovu?

Pokud jde o WebP, jedná se o formát rastrového obrázku, který byl vytvořen společností Google, aby nahradil mnohem běžnější formáty – JPEG, PNG a GIF. Kromě animace a průhlednosti podporuje kompresi obrázků bez ztráty kvality.

Umělá inteligence vyhodnotí reputaci prodejců na Avitu
Umělá inteligence

Tato chyba zabezpečení je způsobena použitím knihovny třetí strany a existuje pro ni aktivní exploit. Google zatím neuvedl žádné další podrobnosti kvůli obavám o bezpečnost uživatelů.

„Na základě skutečnosti, že mluvíme o přetečení vyrovnávací paměti založené na haldě v grafickém souboru, můžeme vyvodit určité závěry o metodách využívání,“ říká SEQ CISO. Anastasia Melnikovová. — S největší pravděpodobností bude použit speciálně připravený obrázek, který zjevně přeteče vyrovnávací paměť v komponentě Chrome zodpovědné za zpracování WebP. Cílem by rozhodně bylo spouštět libovolný kód v kontextu Chrome s vyhlídkou na zavedení malwaru do základního operačního systému.“

„Bug“ objevený specialisty na kybernetickou špionáž

Je zvláštní, že informace o zranitelnosti v Google poskytli odborníci ze skupiny Apple Security Engineering and Architecture (SEAR) a také výzkumníci z The Citizen Lab (na Munk School, divize University of Toronto v Kanadě) .

Odborníci z The Citizen Lab opakovaně objevili zranitelnosti zero-day, které využívali hackeři spříznění se zpravodajskými agenturami při vysoce cílených špionážních kybernetických útocích.

Zrovna minulý týden Apple oznámil, že opravil dvě zero-day zranitelnosti ve svých vlastních produktech. Tyto „chyby“ byly použity v řetězci exploitů BLASTPASS, který umožnil instalaci nechvalně známého spywaru NSO Pegasus na iPhony. Včetně těch smartphonů, na kterých byly nainstalovány všechny oficiální aktualizace.

• Jak udržovat DBMS na více databázových serverech

Google opravil zero-day zranitelnost v Chromu používanou při skutečných útocích

Společnost opravila zero-day zranitelnost pro uživatele Google Chrome na kanálu Stable Desktop. Den poté, co Google nahlásil bezpečnostní chyby, již byly opravené verze nabídnuty uživatelům Windows (120.0.6099.129/130), Mac a Linux (120.0.6099.129).

Bezpečnostní bulletin uvádí:

Google si je vědom toho, že skutečné útoky využívají exploit pro CVE-2023-7024.

Zranitelnost objevili Clement Lecigne a Vlad Stolyarov ze skupiny Google Threat Analysis Group (TAG). Hlavním úkolem tohoto týmu je chránit klienty Google před provládními útoky.

TAG často detekuje chyby zero-day používané vládou podporovanými hackery při cílených útocích zaměřených na instalaci spywaru do zařízení vysoce rizikových jedinců, včetně opozičních politiků, disidentů a novinářů.

Ačkoli distribuce opravy může trvat několik dní nebo týdnů, ve většině případů bude oprava okamžitě k dispozici pro instalaci.

Prohlížeč automaticky vyhledá nové aktualizace a nainstaluje je při příštím spuštění. Chcete-li zkontrolovat dostupnost aktualizace ručně, přejděte na nabídka > Nápověda > O prohlížeči Google Chrome nebo přejděte na stránku chrome://settings/help. Pokud je k dispozici aktualizace, prohlížeč stáhne a nainstaluje nejnovější verzi.

Novou verzi prohlížeče si také můžete stáhnout z našeho webu:

Osmá zero-day zranitelnost opravená v tomto roce

Opravená chyba zabezpečení s identifikátorem CVE-2023-7024 získala vysoké hodnocení závažnosti. Souvisí to s přetečením vyrovnávací paměti haldy v rámci open source WebRTC. Mnoho dalších prohlížečů, jako je Mozilla Firefox, Safari a Microsoft Edge, poskytuje možnosti komunikace v reálném čase (RTC) (jako je streamování videa, sdílení souborů a VoIP telefonování) prostřednictvím rozhraní JavaScript API.

I když je známo, že CVE-2023-7024 byl použit při skutečných útocích, Google neposkytuje podrobnosti o incidentech.

Poznámky k příspěvku Google:

Přístup k podrobným informacím o chybách a odkazům může být omezen, dokud většina uživatelů neobdrží opravu.

Omezení zachováme také v případě, že v knihovně třetí strany existuje chyba, na které podobně závisejí jiné projekty a která dosud nebyla opravena.

To se provádí za účelem snížení pravděpodobnosti, že útočníci vyvinou své vlastní exploity CVE-2023-7024 tím, že jim zabrání ve využívání nových technických informací.

Dříve Google opravil sedm dalších zero-day zranitelností, které byly používány při útocích: CVE-2023-6345, CVE-2023-5217, CVE-2023-4863, CVE-2023-3079, CVE-2023-4762, CVE-2023- 2136 a CVE-2023-2033.

Některé, jako například CVE-2023-4762, byly označeny jako chyby zero-day používané k instalaci spywaru týdny po vydání opravy.