Patch Gap in Chrome avrebbe potuto essere come arma da aggressori
CYBER NEWS

Patch Gap in Chrome avrebbe potuto essere come arma da aggressori

1 Star2 Stars3 Stars4 Stars5 Stars (2 voti, media: 5.00 su 5)
Loading ...

Patch gap è un problema serio che mette un sistema a rischio di exploit. Il problema deriva da un gap in tempo prima una patch di una vulnerabilità di sicurezza in un software open-source viene spedito agli utenti.




La vulnerabilità può essere fissata già, o in corso di fisso, e gli aggressori possono sfruttare il tempo prima che la patch arriva sui dispositivi degli utenti. questa finestra, in cui la conoscenza della vulnerabilità è semi-pubblica mentre l'utente-base rimane vulnerabile, può variare da giorni a mesi, spiega ricercatore di sicurezza István Kurucsai.

The Gap Patch in Google Chrome Explained

Il ricercatore ha scoperto solo un esempio di questo problema in Google Chrome. La falla potrebbe essere stata sfruttata in attacchi contro Chrome giorni utenti prima che la patch è arrivato.

Va notato che non tutte le lacune di patch possono essere dotate di armi in attacchi, e non sono così comuni. Ciò nonostante, Kurucsai scoperto uno in componenti open-source V8 di Google Chrome che viene utilizzato come motore JavaScript del browser.

Un elenco interessante cambiamento di cromo-recensione suscitato il nostro interesse a metà agosto. E 'stato per un problema che colpisce sigillato e oggetti congelati, tra cui un test di regressione che ha attivato un errore di segmentazione. È stata abbandonata (e cancellati) da allora in favore di un approccio diverso cerotto, con il lavoro continua sotto CL 1760976, che è un cambiamento molto più coinvolti, il ricercatore ha scritto in un post sul blog.

Poco detto, il divario patch è dovuto all'emissione V8 che è stato patchato nel mese di agosto. “Dal momento che la correzione si è rivelata così complessa, la soluzione temporanea per la 7.7 ramo v8 era di disattivare la funzionalità interessata. Questo sarà implementato solo in una versione stabile del 10 settembre,” il ricercatore spiegato. In altre parole, la questione dovrebbe essere chiusa con il rilascio di Chrome 77.

Correlata: I ricercatori Divulgare senza patch Android Zero-Day

Secondo il ricercatore e il suo team, attaccanti hanno avuto tutto il tempo per armare questo problema attraverso il changelog v8 per aggiornamenti di sicurezza. Anche se la concezione di un Chrome exploit non è un compito facile, un attaccante che è un esperto in JavaScript avrebbe potuto farlo. Per dimostrare il suo punto, Kurucsai anche rilasciato un PoC (verifica teorica) su GitHub. Il PoC sfrutta il problema iniziale v8 per eseguire codice dannoso in Chrome.

Va notato che il PoC non è abbastanza efficiente come seconda vulnerabilità per sfuggire alla sandbox di Chrome è necessaria. Tuttavia, attaccanti ancora potuto utilizzare più anziani Chrome difetti sandbox escape per sfruttare loro la questione gap di patch.

L'anno scorso, ricercatori Karsten Nohl e Jakob Lell da ditta di sicurezza Security Research Labs hanno scoperto una lacuna cerotto nascosta nei dispositivi Android. I due hanno condotto un'analisi di due anni di 1,200 telefoni Android solo per scoprire che la maggior parte dei fornitori di Android dimenticano regolarmente per includere alcune patch, parti lasciando dell'ecosistema esposti a varie minacce.

Avatar

Milena Dimitrova

Uno scrittore ispirato e gestore di contenuti che è stato con SensorsTechForum per 4 anni. Gode ​​di ‘Mr. Robot’e le paure‘1984’. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...