Patch gap è un problema serio che mette un sistema a rischio di exploit. Il problema deriva da un gap in tempo prima una patch di una vulnerabilità di sicurezza in un software open-source viene spedito agli utenti.
La vulnerabilità può essere fissata già, o in corso di fisso, e gli aggressori possono sfruttare il tempo prima che la patch arriva sui dispositivi degli utenti. questa finestra, in cui la conoscenza della vulnerabilità è semi-pubblica mentre l'utente-base rimane vulnerabile, può variare da giorni a mesi, spiega ricercatore di sicurezza István Kurucsai.
The Gap Patch in Google Chrome Explained
Il ricercatore ha scoperto solo un esempio di questo problema in Google Chrome. La falla potrebbe essere stata sfruttata in attacchi contro Chrome giorni utenti prima che la patch è arrivato.
Va notato che non tutte le lacune di patch possono essere dotate di armi in attacchi, e non sono così comuni. Ciò nonostante, Kurucsai scoperto uno in componenti open-source V8 di Google Chrome che viene utilizzato come motore JavaScript del browser.
Un elenco interessante cambiamento di cromo-recensione suscitato il nostro interesse a metà agosto. E 'stato per un problema che colpisce sigillato e oggetti congelati, tra cui un test di regressione che ha attivato un errore di segmentazione. È stata abbandonata (e cancellati) da allora in favore di un approccio diverso cerotto, con il lavoro continua sotto CL 1760976, che è un cambiamento molto più coinvolti, il ricercatore ha scritto in un post sul blog.
Poco detto, il divario patch è dovuto all'emissione V8 che è stato patchato nel mese di agosto. “Dal momento che la correzione si è rivelata così complessa, la soluzione temporanea per la 7.7 ramo v8 era di disattivare la funzionalità interessata. Questo sarà implementato solo in una versione stabile del 10 settembre,” il ricercatore spiegato. In altre parole, la questione dovrebbe essere chiusa con il rilascio di Chrome 77.
Secondo il ricercatore e il suo team, attaccanti hanno avuto tutto il tempo per armare questo problema attraverso il changelog v8 per aggiornamenti di sicurezza. Anche se la concezione di un Chrome exploit non è un compito facile, un attaccante che è un esperto in JavaScript avrebbe potuto farlo. Per dimostrare il suo punto, Kurucsai anche rilasciato un PoC (verifica teorica) su GitHub. Il PoC sfrutta il problema iniziale v8 per eseguire codice dannoso in Chrome.
Va notato che il PoC non è abbastanza efficiente come seconda vulnerabilità per sfuggire alla sandbox di Chrome è necessaria. Tuttavia, attaccanti ancora potuto utilizzare più anziani Chrome difetti sandbox escape per sfruttare loro la questione gap di patch.
L'anno scorso, ricercatori Karsten Nohl e Jakob Lell da ditta di sicurezza Security Research Labs hanno scoperto una lacuna cerotto nascosta nei dispositivi Android. I due hanno condotto un'analisi di due anni di 1,200 telefoni Android solo per scoprire che la maggior parte dei fornitori di Android dimenticano regolarmente per includere alcune patch, parti lasciando dell'ecosistema esposti a varie minacce.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: