Remendo gapping é um problema sério que coloca um sistema em risco de exploits. O problema decorre de um intervalo de tempo antes de um patch de uma vulnerabilidade de segurança em um software de código aberto é enviado para usuários.
A vulnerabilidade pode já ter sido corrigida, ou em processo de conserto, e os invasores podem explorar o tempo antes que o patch chegue aos dispositivos dos usuários. Esta janela, em que o conhecimento da vulnerabilidade é semi-público, enquanto a base de usuários permanece vulnerável, pode variar de dias a meses, explica o pesquisador de segurança István Kurucsai.
Explicação da lacuna do patch no Google Chrome
O pesquisador acaba de descobrir uma instância desse problema no Google Chrome. A falha pode ter sido explorada em ataques contra usuários do Chrome dias antes da chegada do patch.
Deve-se notar que nem todos os patch gaps podem ser transformados em armas em ataques, e eles não são tão comuns. Não obstante, Kurucsai descobriu um no componente de código aberto v8 do Google Chrome que é usado como o mecanismo de JavaScript do navegador.
Uma lista de mudanças interessante na revisão do cromo despertou nosso interesse em meados de agosto. Era para um problema que afetava objetos selados e congelados, incluindo um teste de regressão que desencadeou uma falha de segmentação. Foi abandonado (e excluído) desde então, a favor de uma abordagem de patch diferente, com o trabalho continuando sob CL 1760976, que é uma mudança muito mais envolvente, o pesquisador escreveu em um post de blog.
disse brevemente, o patch gap é devido ao problema do V8 que foi corrigido em agosto. “Já que a correção acabou sendo tão complexa, a solução temporária para o 7.7 Branch v8 era para desativar a funcionalidade afetada. Isso só será implementado em uma versão estável em 10 de setembro,” explica a pesquisadora. Em outras palavras, o problema agora deve ser resolvido com o lançamento do Chrome 77.
Segundo o pesquisador e sua equipe, os invasores tiveram muito tempo para transformar esse problema em uma arma por meio do changelog v8 para correções de segurança. Mesmo que a concepção de um exploit do Chrome não seja uma tarefa fácil, um invasor que é um especialista em JavaScript poderia ter feito isso. Para provar seu ponto, Kurucsai também lançou um PoC (prova de conceito) no GitHUb. O PoC aproveita o problema inicial da v8 para executar código malicioso no Chrome.
Deve-se observar que o PoC não é eficiente o suficiente, pois uma segunda vulnerabilidade para escapar da sandbox do Chrome é necessária. Contudo, os invasores ainda poderiam ter utilizado falhas de escape da sandbox do Chrome mais antigas para aproveitá-los com o problema do patch gap.
Ano passado, os pesquisadores Karsten Nohl e Jakob Lell, da empresa de segurança Security Research Labs, descobriram um patch gap oculto em dispositivos Android. Os dois realizaram uma análise de dois anos 1,200 Telefones Android apenas para descobrir que a maioria dos fornecedores Android regularmente se esquece de incluir alguns patches, deixando partes do ecossistema expostas a várias ameaças.