已发出Chrome补丁,该咨询说明稳定通道已更新到Windows,Mac和Linux的88.0.4324.150。关于此更新的唯一值得注意的是零天漏洞的补丁,它已在野外积极地利用。但那个看起来非常重要。
哪个零天被修补?
公开披露的计算机安全漏洞列于常见的漏洞和公开(CVE)数据库中。其目标是使其更容易跨单独的漏洞功能(工具,数据库和服务)共享数据。这个零天被列为CVE-2021-21148。来自更新公告对于此Chrome补丁,我们可以了解Patch计数器在2021年1月24日的Mattias Buelens报道的V8 JavaScript引擎中溢出溢出溢出。
什么是堆缓冲区溢出?
堆是用于存储动态变量的进程内存区域的名称。缓冲区溢出是一种软件漏洞,当软件应用程序中的存储区域达到其地址边界并写入相邻的存储区域时存在。在软件利用代码中,针对溢出的两个公共区域是堆栈和堆。
因此,通过创建特制的输入,攻击者可以使用此漏洞将代码写入存储器位置,在那里它们通常不会访问。在流行浏览器中作为零天提供的这种攻击载体是一个浇水洞的金色机会。
浇水孔用作目标攻击策略。攻击者感染了一个网站,他们知道他们的目标受害者将访问,或引诱他们到自己制作的网站。根据感染的性质,攻击者可以挑出其预期的目标,或者只是感染任何访问网站无保护的人。浇水孔策略是社会工程,黑客攻击和开车的混合,需要高度知识和深思熟虑的策略。
野外使用这个漏洞是如何?
根据发现的时间(1月24日)和这份报告通过谷歌的威胁分析小组(标签)于1月26日发布,普遍假设是攻击在不同公司和组织的漏洞研究和开发工作的安全研究人员。为了连接和获得安全研究人员之间的信任,演员创建了一个研究博客和多个Twitter配置文件来与潜在目标进行交互。
使用的方法之一是与研究人员进行互动,并让他们遵循Twitter上的链接到恶意网站上托管的写作。访问后不久,研究人员的系统上安装了一种恶意服务,内存后门将开始与A沟通命令和控制(C&C)服务器。这确实可以使用浏览器中的堆缓冲区溢出来完成的声音。
更新
尽管它发现,但这种漏洞仍然对网络犯罪分子有用。我们建议大家尽快更新并获得最新版本的Chrome。
最简单的方法是允许Chrome自动更新,基本上使用与下面概述相同的方法,但不需要您的注意。但如果您从未关闭浏览器,或者如果出现问题,则最终可能会滞后,例如出现问题,例如延迟停止更新浏览器。
所以,现在检查并没有伤害。鉴于零天脆弱性,现在将是一个美好时光。我的首选方法是将镀铬打开页面Chrome://设置/帮助您也可以通过单击找到设置>关于Chrome。
如果有可用的更新,Chrome将通知您并开始下载它。然后它会告诉你所有你必须做的事情来完成更新是重新启动浏览器。
保持安全,每个人!
注释