Patch gapping ist ein ernstes Problem, das ein System mit einem Risiko von Exploits setzt. Das Problem ergibt sich aus einer Lücke in der Zeit vor einem Patch von einer Sicherheitslücke in einer Open-Source-Software ist für die Nutzer ausgeliefert.
Die Sicherheitslücke behoben wurde bereits, oder in dem Prozess festgelegt zu werden,, und Angreifer können die Zeit ausnutzen, bevor der Patch auf den Geräten der Benutzer ankommt. Dieses Fenster, in denen die Kenntnis der Schwachstelle ist halböffentlichen, während die Benutzer-Basis bleibt anfällig, kann von Tagen bis zu Monaten reichen, erklärt Sicherheitsexperte István Kurucsai.
Der Patch-Gap in Google Chrome erklärt
Der Forscher entdeckte nur eine Instanz dieses Problem in Google Chrome. Der Fehler könnte bei Angriffen gegen Chrome-Nutzer Tagen ausgebeutet wurden, bevor der Patch angekommen.
Es ist zu beachten, dass nicht alle Patch-Lücken können bei Angriffen weaponized werden, und sie sind nicht so häufig. Dennoch, Kurucsai entdeckte man in Google Chrome v8 Open-Source-Komponente, die als die JavaScript-Engine des Browsers verwendet wird.
Eine interessante Änderungsliste auf Chrom-Bewertung pikiert unser Interesse an der Mitte August. Es war für eine Ausgabe versiegelt Affecting und gefrorene Objekte, einschließlich eines Regressionstests, die einen Segmentierungsfehler ausgelöst. Es wurde aufgegeben (und gelöscht) da dann für einen anderen Patch-Ansatz, mit der Arbeit unter CL fort 1760976, Das ist ein viel mehr beteiligt Wandel, die Forscher schrieben in eine Blog-Post.
Kurz gesagt, die Patch Lücke ist auf das V8 Problem aufgrund der im August gepatchte. “Da wandte sich der fix so komplex erwiesen, die temporäre Lösung für die 7.7 v8 Zweig war die betroffene Funktionalität zu deaktivieren. Dies wird nur in eine stabile Release am 10. September aufgerollt werden,” Der Forscher erklärt. Mit anderen Worten, das Problem sollte jetzt mit der Veröffentlichung von Chrome geschlossen 77.
Nach Angaben der Forscher und sein Team, Angreifer hatte für Sicherheitsupdates viel Zeit dieses Problem durch die v8 Changelog weaponize. Auch wenn die Konzeption eines Chrome Exploit ist keine leichte Aufgabe,, Ein Angreifer, der ein Experte in JavaScript ist, könnte es getan haben,. Um zu beweisen, seinen Punkt, Kurucsai veröffentlichte auch eine PoC (konzeptioneller Beweiß) auf GitHub. Die PoC nutzt die anfängliche v8 Problem Schadcode in Chrome zu laufen.
Es sei darauf hingewiesen, dass der PoC nicht effizient genug, um als zweite Verwundbarkeit der Chrome-Sandbox zu entkommen ist erforderlich. Jedoch, Angreifer könnten noch älteren Chrome-Sandbox entkommen Fehler genutzt haben sie mit dem Patch Lücke Problem zu nutzen.
Letztes Jahr, Karsten Nohl und Jakob Lell von Sicherheitsfirma Security Research Labs Forscher entdeckt eine versteckte Patch Lücke in Android-Geräte. Die beiden führten eine zweijährige Analyse 1,200 nur Android-Handys zu entdecken, dass die meisten Android-Anbieter regelmäßig einige Patches schließen vergessen, Verlassen Teile des Ökosystems zu verschiedenen Bedrohungen ausgesetzt.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: