Google je ovaj tjedan objavio zakrpu najnovije verzije Chromea, v80, čiji je cilj smanjiti tri ranjivosti, uključujući jednu tajanstvenu 0-dnevnu ranjivost koja nije bila detaljna.
Najnovije zakrpe za ažuriranje Chromea CVE-2020-6418, pronađene u divljini od 0 dana @ _clem1: https://t.co/H2j5PXO8gVpic.twitter.com/K2GoOJCPgf
- Antti Tikkanen (@anttitikkanen) 24. veljače 2020
Google nije podijelio više informacija o napadu i vjerojatno će se zadržati dok se zakrpa široko ne izbaci. Na primjer, Chrome OS v 80, koji bi zakrpu vjerojatno dostavio Chromebookovima, još nije dostupan u vrijeme pisanja ovog članka.
Pa što je točno ta misteriozna greška? Trag leži u imenu. Google to naziva pogreškom "zabune tipa" u V8 (Chromeov javascript mehanizam).
Verizon nudi Pixel 4a za samo 10 USD mjesečno na novim Neograničenim linijama
Ok, dobro, to su riječi. Zašto je to loše? Pa, kako su objasnili sigurnosni istraživači na adresi Sophos:
Greška u tipu zbrke je mjesto u kojem možete prevariti program da spremi podatke u jednu svrhu (tip podataka A), ali ih kasnije koristi u drugu svrhu (tip podataka B).
Zamislite da program vrlo pažljivo razmatra koje vrijednosti vam omogućuje pohranjivanje u memoriju kada ga tretirate kao tip B.
Na primjer, ako memorijsko mjesto 'tipa B' evidentira memorijsku adresu (pokazivač za upotrebu žargonska riječ), tada će se program vjerojatno potruditi spriječiti da ga mijenjate kako god želite Kao.
U suprotnom, možda ćete dobiti moć čitanja tajnih podataka s memorijskih mjesta kojima ne biste trebali pristupiti ili izvršavanja nepoznatog i nepouzdanog programskog koda, kao što je zlonamjerni softver.
S druge strane, memorijsko mjesto koje se koristi za pohranu nečega, poput boje koju ste upravo odabrali s izbornika, moglo bi rado prihvatiti bilo koju vrijednost koja vam se sviđa, kao što je 0x00000000 (što znači potpuno prozirno) sve do 0xFFFFFFFF (što znači svijetlo bijelo i potpuno neprozirno).
Dakle, ako možete dobiti program koji vam omogućuje pisanje u memoriju pod pretpostavkom niskog rizika da pohranjuje boju, ali kasnije koristiti tu "boju" kao ono što smatra pouzdanom memorijskom adresom kako bi se izvršavanje programa prenijelo u vaš zlonamjerni softver kodirati…
... upravo ste koristili zbrku tipa da biste zaobišli sigurnosne provjere koje su trebale biti primijenjene na pokazivač memorije.
TL: DR: Ako se ova ranjivost aktivno iskorištava, zlonamjerni softver može se obući kao troje djece u kaput i prevariti sigurnosne provjere namijenjene sprječavanju navedenog zlonamjernog softvera. Google je za većinu ljudi već ispravio ranjivost u Chromeu, stoga slobodno ažurirajte svoj preglednik radi maksimalne zaštite.
Chrome: Sve što trebate znati!
Jeste li slušali ovotjedni Android Central Podcast?
Svaki tjedan Android Central Podcast donosi vam najnovije tehnološke vijesti, analize i popularne snimke, uz poznate suvoditelje i posebne goste.
- Pretplatite se na Pocket Casts: Audio
- Pretplatite se na Spotify: Audio
- Pretplatite se na iTunes: Audio
Možemo zaraditi proviziju za kupnju pomoću naših poveznica. Saznajte više.
Ovo su najbolje bežične slušalice koje možete kupiti po svakoj cijeni!
Najbolje bežične slušalice su udobne, zvuče sjajno, ne koštaju previše i lako se stave u džep.
Sve što trebate znati o PS5: Datum izlaska, cijena i još mnogo toga.
Sony je službeno potvrdio da radi na PlayStationu 5. Evo svega što o tome zasad znamo.
Nokia lansira dva nova proračunska Android One telefona ispod 200 dolara.
Nokia 2.4 i Nokia 3.4 najnoviji su dodaci proračunskoj liniji pametnih telefona tvrtke HMD Global. Budući da su oba Android One uređaja, zajamčeno će primati dva glavna ažuriranja OS-a i redovita sigurnosna ažuriranja do tri godine.
Začinite svoj pametni telefon ili tablet najboljim paketima ikona za Android.
Mogućnost prilagodbe uređaja fantastična je jer pomaže da vaš uređaj učinite još više „svojim“. Snagom Androida možete koristiti pokretače nezavisnih proizvođača za dodavanje prilagođenih tema ikona i to su samo neke od naših omiljenih.