Patch Gap in Chrome had kunnen zijn bewapend door aanvallers
CYBER NEWS

Patch Gap in Chrome had kunnen zijn bewapend door aanvallers

1 Star2 Stars3 Stars4 Stars5 Stars (2 stemmen, gemiddelde: 5.00 uit 5)
Loading ...

Patch klovend is een ernstig probleem dat een systeem met een risico op exploits zet. Het probleem komt voort uit een gat in de tijd voordat een patch van een beveiligingsprobleem in een open-source software wordt geleverd aan gebruikers.




De kwetsbaarheid misschien al vast, of in het proces worden vastgesteld, en aanvallers kan de tijd te benutten voordat de patch komt op apparaten van gebruikers. dit venster, waarbij de kennis van de kwetsbaarheid semi-publieke terwijl de gebruiker-base kwetsbaar blijft, kan variëren van dagen tot maanden, verklaart security-onderzoeker István Kurucsai.

De Patch Gap in Google Chrome Explained

De onderzoeker net ontdekt een exemplaar van dit probleem in Google Chrome. De fout had kunnen worden benut bij aanvallen tegen Chrome-gebruikers dagen voor de patch is er.

Hierbij moet worden opgemerkt dat niet alle patch gaten kan worden bewapend bij aanslagen, en ze zijn niet zo vaak. Niettemin, Kurucsai ontdekte men in Google Chrome v8 open-source component die gebruikt wordt als de browser JavaScript-engine.

Een interessante verandering lijst aan chroom-review was ontgoocheld ons belang in half augustus. Het was voor een probleem waar verzegeld en bevroren objecten, waaronder een regressie test die een segmentation fault getriggerd. Het is verlaten (en verwijderde) sindsdien ten gunste van een andere patch aanpak, met de werkzaamheden voortgezet in het kader CL 1760976, wat een veel meer betrokken verandering, de onderzoeker schreef in een blogpost.

Kort gezegd, de patch kloof is te wijten aan de V8 kwestie die werd gepatcht in augustus. “Aangezien de correctie bleek zo complex te zijn, de tijdelijke oplossing voor de 7.7 v8 tak was aan de getroffen functionaliteit uit te schakelen. Dit zal alleen worden uitgerold in een stabiele release op 10 september,” de onderzoeker uitgelegd. Met andere woorden, de kwestie moet nu worden afgesloten met de release van Chrome 77.

Verwant: Onderzoekers Disclose Ongepatchte Android Zero-Day

Volgens de onderzoeker en zijn team, aanvallers had genoeg tijd om deze kwestie te bewapenen door de v8 changelog voor beveiligingsoplossingen. Ook al is de conceptie van een Chrome-exploit is geen gemakkelijke taak, een aanvaller die een expert is in JavaScript kon het hebben gedaan. Om zijn punt te bewijzen, Kurucsai bracht ook een PoC (proof-of-concept) op GitHub. De PoC maakt gebruik van de eerste v8 probleem om kwaadaardige code in Chrome wordt uitgevoerd.

Opgemerkt dient te worden dat de PoC is niet efficiënt genoeg is als een tweede kwetsbaarheid voor de Chrome sandbox te omzeilen is nodig. Echter, aanvallers nog oudere Chrome sandbox ontsnappen gebreken had kunnen gebruikt om ze te benutten met de patch kloof kwestie.

Vorig jaar, onderzoekers Karsten Nohl en Jakob Lell van beveiligingsbedrijf Security Research Labs ontdekt een verborgen patch gat in Android toestellen. De twee voerden een twee jaar durende analyse van 1,200 Android-telefoons om te ontdekken dat de meeste Android-leveranciers regelmatig vergeet een aantal patches toe te voegen, waardoor delen van het ecosysteem blootgesteld aan verschillende bedreigingen.

avatar

Milena Dimitrova

Een geïnspireerde schrijver en content manager die heeft met SensorsTechForum voor 4 jaar. Geniet ‘Mr. Robot’en angsten‘1984’. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...