Brukere dveler fortsatt ved den forrige Microsoft Patch Tuesday-kunngjøringen, som var ganske dårlig etter deres mening, med seks in-the-wild sårbarheter rettet.

For ikke å snakke om den som er begravet dypt inne i restene av Internet Explorers MSHTML-webgjengivelseskode.

14 sikkerhetsreparasjoner i én enkelt oppdatering

Nå lanserer Google Chrome sikkerhetsrådgivningsom du kanskje vil vite inkluderer en null-dagers oppdatering (CVE-2021-30551) til Chromes JavaScript-motor, blant de andre 14 offisielt oppførte sikkerhetsfiksene.

For de som fortsatt ikke er kjent med begrepet, Null-dager er en fantasifull tid, siden denne typen nettangrep skjer på mindre enn et døgn siden bevisstheten om sikkerhetsfeilen.

Derfor gir det ikke utviklerne på langt nær nok tid til å utrydde eller redusere de potensielle risikoene forbundet med denne sårbarheten.

I likhet med Mozilla, grupperer Google også andre potensielle feil den har funnet ved å bruke generiske feiljaktmetoder, oppført som Ulike rettelser fra interne revisjoner, fuzzing og andre initiativer.

Fuzzere kan produsere om ikke millioner, hundrevis av millioner av testinndata i løpet av prøvekjøringen.

Den eneste informasjonen de trenger å lagre er imidlertid i tilfellene som får programmet til å oppføre seg feil, eller krasjer.

Dette betyr at de kan brukes senere i prosessen, som utgangspunkt for menneskelige insektjegere, noe som også vil spare mye tid og arbeidskraft.

Bugs blir utnyttet i naturen

Google starter med å nevne zero-day bug, og sier at de er klar over at en utnyttelse for CVE-2021-30551 eksisterer i naturen.

Denne spesielle feilen er oppført som typeforvirring i V8der V8 representerer den delen av Chrome som kjører JavaScript-kode.

Typeforvirring betyr at du kan gi V8 ett dataelement, mens du lurer JavaScript til å håndtere det som om det var noe helt annet, potensielt omgå sikkerhet eller til og med kjøre uautorisert kode.

Som de fleste av dere kanskje vet, resulterer JavaScript-sikkerhetsbrudd som kan utløses av JavaScript-kode innebygd i en nettside, oftere i RCE-utnyttelser, eller til og med ekstern kjøring av kode.

Når alt dette er sagt, avklarer ikke Google om CVE-2021-30551-feilen kan brukes til hardcore ekstern kjøring av kode, noe som vanligvis betyr at brukere er sårbare for cyberangrep.

Bare for å få en ide om hvor alvorlig dette er, forestill deg at du surfer på et nettsted, uten å klikke på noen popup-vinduer, kan tillate ondsinnede tredjeparter å kjøre kode usynlig og implantere skadelig programvare på datamaskinen din.

Dermed får CVE-2021-30551 bare en høy rangering, med bare en feil som ikke er i naturen (CVE-2021-30544), klassifisert som kritisk.

Det kan være at CVE-2021-30544-feilen fikk den kritiske omtalen tilskrevet den fordi den kunne utnyttes for RCE.

Det er imidlertid ingen antydning om at noen andre enn Google, så vel som forskerne som rapporterte det, vet hvordan de gjør det for øyeblikket.

Selskapet nevner også at tilgang til feildetaljer og lenker kan holdes begrenset inntil flertallet av brukerne er oppdatert med en rettelse

Hva synes du om den siste zero day-oppdateringen fra Google? Del dine tanker med oss ​​i kommentarfeltet nedenfor.