Обновление Chrome с устранением 0-day уязвимости. Отчёт о 0-day уязвимостях в 2020 году

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
05-Фев-2021 14:30

Спустя два дня после публикации выпуска Chrome с устранением критической уязвимости, компания Google сформировала ещё одно обновление Chrome 88.0.4324.150, в котором исправлена уязвимость CVE-2021-21148, уже применяемая злоумышленниками в эксплоитах (0-day). Детали пока не раскрываются, известно лишь, что уязвимость вызвана переполнением кучи в JavaScript-движке V8.
Проблеме присвоен высокий, но не критический, уровень опасности, т.е. обозначено, что уязвимость не позволяет обойти все уровни защиты браузера и её недостаточно чтобы выполнить код в системе за пределами sandbox-окружения. Сама по себе уязвимость в Chrome не позволяет обойти sandbox-окружение и для полноценной атаки требуется применение ещё одной уязвимости в операционной системе.
Некоторые аналитики предполагают, что уязвимость применялась в эксплоите, используемом в раскрытой в конце января атаке ZINC на исследователей безопасности (в прошлом году в Twitter и различных социальных сетях был раскручен фиктивный исследователь, который вначале заработал себе положительную репутацию через публикацию обзоров и статей о новых уязвимостях, но при публикации очередной статьи применил эксплоит с 0-day уязвимостью, запускающий код в системе при клике на ссылке в Chrome для Windows).
Дополнительно можно отметить несколько появившихся на днях публикаций Google, связанных с безопасностью:
  • Отчёт о эксплоитах с 0-day уязвимостями, выявленных командой Project Zero в прошлом году. В статье приводится статистика, что 25% от изученных 0-day уязвимостей были напрямую связаны с ранее публично раскрытыми и исправленными уязвимостями, т.е. авторы 0-day эксплоитов находили новый вектор атаки из-за недостаточно полного или некачественного исправления (например, разработчики уязвимых программ часто устраняют лишь частный случай или просто создают видимость исправления, не докапываясь до корня проблемы). Подобных 0-day уязвимостей потенциально можно было избежать при более тщательном изучении и исправлении уязвимостей.
  • Отчёт о вознаграждениях, выплаченных Google исследователям безопасности за выявление уязвимостей. Всего в 2020 году было выплачено премий на 6.7 млн долларов, что на 280 тысяч долларов больше, чем в 2019 году и почти в два раза больше, чем в 2018 году. Всего было выплачено 662 премии. Размер самой большой премии составил 132 тысячи долларов. $1.74 млн был потрачен на выплаты, связанные с безопасностью платформы Android, $2.1 млн - Chrome, $270 тыс - Google Play и $400 тысяч на гранты исследователям.
  • Представлен фреймворк "Know, Prevent, Fix" для управления метаданным об устранении уязвимостей, контроля за исправлением, отправки уведомлений о новых уязвимостях, поддержания базы с информацией об уязвимостях, отслеживания привязки уязвимостей к зависимостям и анализа риска проявления уязвимости через зависимости.


===========
Источник:
OpenNet.RU
===========

Похожие новости: Теги для поиска: #_chrome, #_0day, #_google
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 18:21
Часовой пояс: UTC + 5