A Google ezen a héten kiadott egy javítást a Chrome legújabb verziójához, a v80-hoz, amelynek célja három sebezhetőség, köztük egy rejtélyes 0 napos sebezhetőség felszámolása volt, amely nem volt részletes.
A legfrissebb Chrome-frissítések, a CVE-2020-6418, a 0day megtalálható a vadonban @ _clem1: https://t.co/H2j5PXO8gVpic.twitter.com/K2GoOJCPgf
- Antti Tikkanen (@anttitikkanen) 2020. február 24
A Google nem osztott meg további információkat a támadásról, és valószínűleg addig tart, amíg a javítás széles körűen ki nem terjed. A Chrome OS 80 verzió, amely feltehetően a javítást juttatná el a Chromebookokhoz, például még az írás idején nem áll rendelkezésre.
Tehát mi is ez a rejtélyes hiba? A nyom a névben rejlik. A Google ezt „type confusion” hibának nevezi a V8-ban (a Chrome javascript motorja).
A Verizon a Pixel 4a-t mindössze 10 USD / hó áron kínálja az új Unlimited vonalakon
Ok, jó, ezek szavak. Miért rossz? Nos, amint azt a biztonsági kutatók itt kifejtették Sophos:
A típusú összetévesztési hiba az, ahol becsaphatja a programot az adatok egy célra történő mentésére (A típusú adatok), majd később más célra (B adattípus) használhatja fel őket.
Képzelje el, hogy egy program nagyon vigyáz arra, hogy milyen értékeket tárolhat a memóriában, amikor B típusként kezeli.
Például, ha egy „B típusú” memóriahely nyomon követi a memória címét (egy mutatót a szakzsargon szó), akkor a program valószínűleg nagy erőfeszítéseket fog tenni annak érdekében, hogy ne változtasson rajta tetszik.
Ellenkező esetben felmerülhet a képessége, hogy titkos adatokat olvasson azokból a memóriahelyekből, amelyekhez nem kellene hozzáférnie, vagy ismeretlen és nem megbízható programkódokat hajthat végre, például rosszindulatú programokat.
Másrészről, egy memóriahely, amelyet olyasmi tárolására használnak, mint egy szín, amelyet éppen a menüből választott, boldogan elfogadhat bármelyiket tetszés szerinti érték, például 0x00000000 (vagyis teljesen átlátszó) egészen 0xFFFFFFFF-ig (vagyis világos fehér és teljesen átlátszatlan).
Tehát, ha sikerül elérni, hogy a program lehetővé tegye, hogy írjon a memóriába, azzal az alacsony kockázatú feltételezéssel, hogy színt tárol, de később hogy ezt a "színt" megbízható memóriacímként használja annak érdekében, hogy a program végrehajtását át tudja vinni a rosszindulatú programba kód…
… Csak a típuszavart használta a memóriamutató biztonsági ellenőrzésének megkerülésére.
TL: DR: Ha ezt a biztonsági rést aktívan kihasználják, a rosszindulatú programok három gyereknek öltözhetnek, és bolond biztonsági ellenőrzéseket végeznek, amelyek megakadályozzák az említett rosszindulatú programokat. A Google a legtöbb ember számára már kijavította a biztonsági rést, ezért a maximális védelem érdekében frissítse böngészőjét.
Chrome: Minden, amit tudnia kell!
Hallgatta már a hét Android Central Podcastját?
Az Android Central Podcast minden héten a legfrissebb technológiai híreket, elemzéseket és gyors felvételeket hozza meg ismerős társtartókkal és különleges vendégekkel.
- Feliratkozás a Pocket Cast-okra: Hang
- Feliratkozás a Spotify-ra: Hang
- Feliratkozás az iTunes-ra: Hang
Linkjeink segítségével jutalékot szerezhetünk a vásárlásokért. Tudj meg többet.
Ezek a legjobb vezeték nélküli fülhallgatók, amelyeket minden áron megvásárolhat!
A legjobb vezeték nélküli fülhallgató kényelmes, remekül hangzik, nem kerül túl sokba, és könnyen elfér egy zsebben.
Minden, amit tudnia kell a PS5-ről: Kiadás dátuma, ára és még sok más.
A Sony hivatalosan megerősítette, hogy a PlayStation 5-en dolgozik. Itt van minden, amit eddig tudtunk róla.
A Nokia két új, 200 dollár alatti, olcsó Android One telefont dob piacra.
A Nokia 2.4 és a Nokia 3.4 a legújabb kiegészítés a HMD Global költségvetési okostelefon-kínálatában. Mivel mindkettő Android One eszköz, garantáltan két fő operációs rendszer frissítést és rendszeres biztonsági frissítést kapnak akár három évig is.
Fűszerezze okostelefonját vagy táblagépét az Android legjobb ikoncsomagjaival.
A készülék testreszabása fantasztikus, mivel segít abban, hogy készülékét még inkább "a sajátjává" tegye. Az Android erejével harmadik féltől származó hordozórakéták segítségével egyedi ikon-témákat adhat hozzá, és ezek csak a kedvenceink közül.