Patch gapping er et alvorligt problem, der sætter et system i fare af exploits. Problemet stammer fra et hul i tiden før et plaster på en sikkerhedsbrist i et open source-software leveres til brugerne.
Sårbarheden kan have været fast allerede, eller i færd med at blive fastgjort, og angribere kan udnytte tiden før plasteret ankommer på brugernes enheder. Dette vindue, hvor viden om sårbarhed er halvoffentlige mens brugeren-basen fortsat er sårbar, kan variere fra dage til måneder, forklarer sikkerhed forsker István Kurucsai.
Den Patch Gap i Google Chrome Forklaret
Forskeren har lige opdaget et eksempel på dette spørgsmål i Google Chrome. Fejlen kunne have været udnyttet i angreb på Chrome-brugere dage før plasteret ankom.
Det skal bemærkes, at ikke alle patch huller kan våbengjort i angreb, og de er ikke så almindeligt. Ikke desto mindre, Kurucsai opdagede en i Google Chromes V8 open source komponent, der anvendes som browserens JavaScript-motor.
En interessant ændring listen på krom review pikeret vores interesse i midten af august. Det var for et problem, der påvirker forseglet og frosne genstande, herunder en regression test, der udløste en segmentering fejl. Det er blevet opgivet (og slettet) siden da til fordel for en anden patch tilgang, med arbejde fortsætter under CL 1760976, hvilket er en langt mere involveret forandring, forskeren skrev i et blogindlæg.
Kort sagt, plasteret forskellen skyldes, at V8 spørgsmål, som blev lappet i august. “Da rettelsen viste sig at være så kompliceret, den midlertidige løsning for 7.7 v8 gren var at deaktivere den påvirkede funktionalitet. Dette vil kun blive rullet ind i en stabil udgivelse den 10. september,” forskeren forklarede. Med andre ord, spørgsmålet skulle nu være lukket med udgivelsen af Chrome 77.
Ifølge forskeren og hans team, angribere havde masser af tid til at våbengøre dette problem gennem v8 changelog for sikkerhedsrettelser. Selvom forestillingen om en Chrome udnytte er ikke en let opgave, en angriber, der er ekspert i JavaScript kunne have gjort det. For at bevise sin pointe, Kurucsai også udgivet en PoC (proof-of-concept) på GitHub. Den PoC udnytter den indledende v8 problem at køre skadelig kode i Chrome.
Det skal bemærkes, at PoC er ikke effektiv nok som en anden sårbarhed for at undslippe Chrome sandkassen er nødvendig. Men, angriberne stadig kunne have udnyttet ældre Chrome sandkasse flugt fejl til at udnytte dem med patch hul spørgsmålet.
Sidste år, forskere Karsten Nohl og Jakob Lell fra vagtselskab Security Research Labs afsløret en skjult patch hul i Android-enheder. De to gennemførte en toårig analyse af 1,200 Android-telefoner kun for at opdage, at de fleste Android leverandører jævnligt glemmer at inkludere nogle patches, forlader dele af økosystemet udsat for forskellige trusler.