Спустя два дня после публикации выпуска Chrome с устранением критической уязвимости, компания Google сформировала ещё одно обновление Chrome 88.0.4324.150, в котором исправлена уязвимость CVE-2021-21148, уже применяемая злоумышленниками в эксплоитах (0-day). Детали пока не раскрываются, известно лишь, что уязвимость вызвана переполнением кучи в JavaScript-движке V8.
Проблеме присвоен высокий, но не критический, уровень опасности, т.е. обозначено, что уязвимость не позволяет обойти все уровни защиты браузера и её недостаточно чтобы выполнить код в системе за пределами sandbox-окружения. Сама по себе уязвимость в Chrome не позволяет обойти sandbox-окружение и для полноценной атаки требуется применение ещё одной уязвимости в операционной системе.
Некоторые аналитики предполагают, что уязвимость применялась в эксплоите, используемом в раскрытой в конце января атаке ZINC на исследователей безопасности (в прошлом году в Twitter и различных социальных сетях был раскручен фиктивный исследователь, который вначале заработал себе положительную репутацию через публикацию обзоров и статей о новых уязвимостях, но при публикации очередной статьи применил эксплоит с 0-day уязвимостью, запускающий код в системе при клике на ссылке в Chrome для Windows).
Дополнительно можно отметить несколько появившихся на днях публикаций Google, связанных с безопасностью:
Проблеме присвоен высокий, но не критический, уровень опасности, т.е. обозначено, что уязвимость не позволяет обойти все уровни защиты браузера и её недостаточно чтобы выполнить код в системе за пределами sandbox-окружения. Сама по себе уязвимость в Chrome не позволяет обойти sandbox-окружение и для полноценной атаки требуется применение ещё одной уязвимости в операционной системе.
Некоторые аналитики предполагают, что уязвимость применялась в эксплоите, используемом в раскрытой в конце января атаке ZINC на исследователей безопасности (в прошлом году в Twitter и различных социальных сетях был раскручен фиктивный исследователь, который вначале заработал себе положительную репутацию через публикацию обзоров и статей о новых уязвимостях, но при публикации очередной статьи применил эксплоит с 0-day уязвимостью, запускающий код в системе при клике на ссылке в Chrome для Windows).
Дополнительно можно отметить несколько появившихся на днях публикаций Google, связанных с безопасностью:
- Отчёт о эксплоитах с 0-day уязвимостями, выявленных командой Project Zero в прошлом году. В статье приводится статистика, что 25% от изученных 0-day уязвимостей были напрямую связаны с ранее публично раскрытыми и исправленными уязвимостями, т.е. авторы 0-day эксплоитов находили новый вектор атаки из-за недостаточно полного или некачественного исправления (например, разработчики уязвимых программ часто устраняют лишь частный случай или просто создают видимость исправления, не докапываясь до корня проблемы). Подобных 0-day уязвимостей потенциально можно было избежать при более тщательном изучении и исправлении уязвимостей.
- Отчёт о вознаграждениях, выплаченных Google исследователям безопасности за выявление уязвимостей. Всего в 2020 году было выплачено премий на 6.7 млн долларов, что на 280 тысяч долларов больше, чем в 2019 году и почти в два раза больше, чем в 2018 году. Всего было выплачено 662 премии. Размер самой большой премии составил 132 тысячи долларов. $1.74 млн был потрачен на выплаты, связанные с безопасностью платформы Android, $2.1 млн - Chrome, $270 тыс - Google Play и $400 тысяч на гранты исследователям.
- Представлен фреймворк "Know, Prevent, Fix" для управления метаданным об устранении уязвимостей, контроля за исправлением, отправки уведомлений о новых уязвимостях, поддержания базы с информацией об уязвимостях, отслеживания привязки уязвимостей к зависимостям и анализа риска проявления уязвимости через зависимости.