Google udgav i denne uge en patch til den nyeste version af Chrome, v80, der sigter mod at knuse tre sårbarheder, inklusive en mystisk 0-dages sårbarhed, der ikke var detaljeret.
Seneste opdateringer til Chrome-opdateringer CVE-2020-6418, 0day fundet i naturen af @ _clem1: https://t.co/H2j5PXO8gVpic.twitter.com/K2GoOJCPgf
- Antti Tikkanen (@anttitikkanen) 24. februar 2020
Google delte ikke flere oplysninger om angrebet, og det holder sandsynligvis, indtil lappen er rullet ud bredt. Chrome OS v 80, som formodentlig ville levere patch til Chromebooks, er for eksempel ikke tilgængelig endnu på tidspunktet for skrivning.
Så hvad er denne mystery bug nøjagtigt? Ledetråden ligger i navnet. Google kalder det en 'type forvirring' fejl i V8 (Chrome's javascript-motor).
Verizon tilbyder Pixel 4a for kun $ 10 / mo på nye ubegrænsede linjer
Ok, godt, det er ord. Hvorfor er det dårligt? Som forklaret af sikkerhedsforskerne over kl Sophos:
En type forvirringsfejl er, hvor du er i stand til at narre et program til at gemme data til et formål (datatype A), men derefter bruge det senere til et andet formål (datatype B).
Forestil dig, at et program er meget forsigtigt med, hvilke værdier det giver dig mulighed for at gemme i hukommelsen, når du behandler det som type B.
For eksempel, hvis en 'type B' hukommelsesplacering holder styr på en hukommelsesadresse (en markør for at bruge jargonord), så vil programmet sandsynligvis gå meget langt for at stoppe dig med at ændre det, men du synes godt om.
Ellers ender du muligvis med magten til at læse hemmelige data fra hukommelsesplaceringer, som du ikke skal have adgang til, eller til at udføre ukendt og ikke-tillid til programkode, såsom malware.
På den anden side kan en hukommelsesplacering, der bruges til at gemme noget som en farve, du lige har valgt fra en menu, med glæde acceptere enhver værdi, du kan lide, såsom 0x00000000 (hvilket betyder fuldstændig gennemsigtig) hele vejen til 0xFFFFFFFF (hvilket betyder lys hvid og helt uigennemsigtig).
Så hvis du kan få programmet til at lade dig skrive til hukommelsen under den lavrisikoforudsættelse, at det gemmer en farve, men senere at bruge den "farve" som hvad den mener er en betroet hukommelsesadresse for at overføre programudførelse til din malware kode…
... du har lige brugt type forvirring til at omgå de sikkerhedskontroller, der skulle have været anvendt på hukommelsesmarkøren.
TL: DR: Hvis denne sårbarhed udnyttes aktivt, kan malware klæde sig ud som tre børn i en trenchcoat og narre sikkerhedskontrol, der er beregnet til at holde den nævnte malware ude. Google har allerede rettet sårbarheden i Chrome for de fleste mennesker, så opdater gjerne din browser for maksimal beskyttelse.
Chrome: Alt hvad du behøver at vide!
Har du lyttet til denne uges Android Central Podcast?
Hver uge bringer Android Central Podcast dig de seneste tekniske nyheder, analyser og hot take med kendte co-værter og specielle gæster.
- Abonner i Pocket Cast: Lyd
- Abonner i Spotify: Lyd
- Abonner i iTunes: Lyd
Vi tjener muligvis en provision for køb ved hjælp af vores links. Lær mere.
Dette er de bedste trådløse øretelefoner, du kan købe til enhver pris!
De bedste trådløse øretelefoner er komfortable, lyder godt, koster ikke for meget og passer let i lommen.
Alt hvad du behøver at vide om PS5: Udgivelsesdato, pris og mere.
Sony har officielt bekræftet, at de arbejder på PlayStation 5. Her er alt, hvad vi ved om det hidtil.
Nokia lancerer to nye budget Android One-telefoner under $ 200.
Nokia 2.4 og Nokia 3.4 er de seneste tilføjelser til HMD Globals budget-smartphone-sortiment. Da de begge er Android One-enheder, modtager de garanteret to store OS-opdateringer og regelmæssige sikkerhedsopdateringer i op til tre år.
Spice din smartphone eller tablet med de bedste ikonpakker til Android.
At kunne tilpasse din enhed er fantastisk, da det hjælper med at gøre din enhed endnu mere "din egen". Med kraften fra Android kan du bruge tredjepartsstartere til at tilføje brugerdefinerede ikontemaer, og disse er blot nogle af vores favoritter.