Kredit:CC0 Public Domain
Uppdatering. Nu. Denna minut. Gå inte förrän du gör det. Det var det påträngande meddelandet från Google i torsdags. En Zero-Day-utnyttja spelades mot webbläsaren Chrome och det fanns inget rörelseutrymme för användare att ignorera det tills de var på bättre humör.
Senast på torsdag, Fossbytes , ZDNet och andra tekniska tittarsajter var över hela historien. Chrome är en enormt populär webbläsare och Google är ganska framgångsrik i sitt varumärke som en relativt säker innehavare av Chrome. Så varje berättelse om motsatsen gjorde omedelbara nyheter.
Du var säker om din uppdatering kontrollera om du hade den senaste visades som version 72.0.3626.121.
Vem hade upptäckt säkerhetsbristen CVE-2019-5786? Clement Lecigne från Googles Threat Analysis Group utsågs.
Lecigne skrev på Googles säkerhetsblogg. "För att åtgärda Chrome-sårbarheten (CVE-2019-5786), Google släppte en uppdatering för alla Chrome-plattformar den 1 mars; den här uppdateringen skickades genom automatisk uppdatering av Chrome. Vi uppmuntrar användare att verifiera att Chromes automatiska uppdatering redan har uppdaterat Chrome till 72.0.3626.121 eller senare."
Så, de pratade om den typen av utnyttjande "i det vilda, " okänd, utan lapp, kan utlösa komplikationer.
Som Kaspersky Lab förklarar innebörden av nolldag, "Vanligtvis är programskaparna snabba med att skapa en fix som förbättrar programskyddet, dock, ibland hör hackare om felet först och är snabba att utnyttja det. När detta händer, det finns lite skydd mot en attack eftersom mjukvarufelet är så nytt."
Eller, som Naken säkerhet uttrycker det, detta är "en sårbarhet som Bad Guys kom på hur de skulle utnyttja innan Good Guys kunde hitta och korrigera den själva – där "även de bäst informerade systemadministratörerna hade noll dagar under vilka de kunde ha patchat proaktivt."
Detta var inget roligt experiment; Google var medvetet om sårbarheten som utnyttjades i det vilda. Andrew Whalley twittrade, Ta en stund att kontrollera att du kör den senaste Chrome.
Justin Schuh, Google Chrome säkerhetsledning, slog också i trumpet för Chrome-användare att söka efter uppdateringen. Hans tweet den 5 mars var ett offentligt tillkännagivande om vi inte spelar:"...allvarligt, uppdatera dina Chrome-installationer...som just nu." Varför, vad är brådskan? Eftersom Chrome Zero-Day var under aktiva attacker. Catalin Cimpanu in ZDNet sa att den korrigerade buggen var under aktiva attacker vid tidpunkten för korrigeringen.
Adash Verma in Fossbytes sa, "Medan detaljerna är knappa, vi vet att felet handlar om minneshantering i Chromes filläsare, som är ett API som låter webbappar läsa innehållet i filer som lagras på användarens datorer."
Schuh twittrade:"Denna senaste utnyttjandet är annorlunda, i den första kedjan riktade Chrome-koden direkt, och därmed krävde användaren att ha startat om webbläsaren efter att uppdateringen laddats ned."
På vilken nivå var CVE-2019-5786-hotet? den har märkts som "Hög". ZDNet sa Google beskrev säkerhetsbristen som ett minneshanteringsfel i Google Chromes FileReader – ett webb-API som låter webbappar läsa innehållet i filer som lagras på användarens dator.
Här är vad Abner Li förklarade i 9to5Google . "Denna speciella attack involverar FileReader API som tillåter webbplatser att läsa lokala filer, medan klassen "Use-after-free" av sårbarheter – i värsta fall – tillåter exekvering av skadlig kod."
Vad betyder det, användning efter-fri sårbarhet? En typ av minnesfel uppstår när en app försöker komma åt minne efter att den har frigjorts/raderats från Chromes tilldelade minne, sa Cimpanu. Han tillade att flödet innebar ett minneshanteringsfel i Google Chromes FileReader. Cimpanu sa att webb-API:et inkluderades i större webbläsare där webbappar läser innehållet i filer lagrade på användarens dator.
Han sa att en felaktig hantering av denna typ av minnesåtkomstoperation kan leda till exekvering av skadlig kod.
Lång och kort, Google kom ut med en åtgärd för nolldagsbristen. Lång och kort, en korrigering har redan utfärdats
Google uppgav att "Tillgång till buggdetaljer och länkar kan hållas begränsad tills en majoritet av användarna har uppdaterats med en fix. Vi kommer också att behålla begränsningar om felet finns i ett tredje parts bibliotek som andra projekt på liknande sätt är beroende av, men har inte fixat ännu."
I den större webbläsarens säkerhetsbild, Teknikbevakare kommer sannolikt fortfarande att betrakta Chrome som en av de säkraste som finns. DataHand påpekade att "Sökmotorjätten har satsat mycket resurser på att säkra webbläsaren de senaste åren och det har inte förekommit många säkerhetsintrång."
Ändå, säkerhetsmiljön måste överleva på en kardinalregel:Säg aldrig aldrig till möjligheten av nya attacker. Vilken webbläsare är helt idiotsäker? Värd att titta på, fastän, är hur skickliga webbläsarägarna kan vara i att hantera hot och utfärda lösningar.
Ryan Whitwam, ExtremeTech :"Webbläsare innehåller så mycket av våra digitala liv nu att alla sårbarheter är potentiellt katastrofala. Som tur är, det är mycket sällsynt att elaka onlinepersoner upptäcker en allvarlig sårbarhet före Google eller utanför säkerheten forskare ...Det var Googles egen Threat Analysis Group som upptäckte felet i Chrome den 27 februari."
© 2019 Science X Network