În această săptămână, Google a lansat un patch pentru cea mai recentă versiune de Chrome, v80, care vizează eliminarea a trei vulnerabilități, inclusiv o vulnerabilitate misterioasă de 0 zile care nu a fost detaliată.
Ultimele patch-uri de actualizare Chrome CVE-2020-6418, 0 zi găsite în sălbăticie de @ _clem1: https://t.co/H2j5PXO8gVpic.twitter.com/K2GoOJCPgf
- Antti Tikkanen (@anttitikkanen) 24 februarie 2020
Google nu a mai împărtășit nicio informație despre atac și probabil că va rezista până când patch-ul va fi lansat pe scară largă. Chrome OS v 80, care probabil ar livra patch-ul pe Chromebookuri, nu este disponibil încă în momentul scrierii, de exemplu.
Deci, ce anume este acest bug mister? Indiciul stă în nume. Google o numește o eroare de „confuzie de tip” în V8 (motorul javascript al Chrome).
Verizon oferă Pixel 4a la doar 10 USD / lună pe noile linii nelimitate
Ok, bine, acestea sunt cuvinte. De ce este atât de rău? Ei bine, așa cum au explicat cercetătorii de securitate de la Sophos:
O eroare de confuzie de tip este în cazul în care puteți înșela un program pentru a salva datele într-un scop (tipul de date A), dar apoi îl utilizați mai târziu pentru un scop diferit (tipul de date B).
Imaginați-vă că un program este foarte atent cu privire la valorile pe care le permite să le stocați în memorie atunci când îl tratați ca pe tipul B.
De exemplu, dacă o locație de memorie „tip B” ține evidența unei adrese de memorie (un pointer, pentru a utiliza cuvântul jargonului), atunci programul va merge probabil la o lungime mare pentru a vă opri să îl modificați oricum doriți ca.
În caz contrar, s-ar putea să aveți puterea de a citi date secrete din locațiile de memorie pe care nu ar trebui să le accesați sau de a executa cod de program necunoscut și de încredere, cum ar fi malware.
Pe de altă parte, o locație de memorie care este utilizată pentru a stoca ceva, cum ar fi o culoare pe care tocmai ați ales-o dintr-un meniu, ar putea accepta cu bucurie oricare valoarea care vă place, cum ar fi 0x00000000 (adică complet transparent) până la 0xFFFFFFFF (adică alb strălucitor și total opac).
Deci, dacă puteți obține programul să vă permită să scrieți în memorie sub ipoteza unui risc scăzut că stochează o culoare, dar mai târziu să utilizați acea „culoare” ca ceea ce crede că este o adresă de memorie de încredere pentru a transfera execuția programului în malware-ul dvs. cod…
... tocmai ați folosit confuzie de tip pentru a ocoli verificările de securitate care ar fi trebuit aplicate indicatorului de memorie.
TL: DR: Dacă această vulnerabilitate este exploatată în mod activ, malware-ul se poate îmbrăca în trei copii într-un trench și poate păcăli controalele de securitate menite să mențină malware-ul în afară. Google a remediat deja vulnerabilitatea în Chrome pentru majoritatea oamenilor, așa că nu ezitați să vă actualizați browserul pentru o protecție maximă.
Chrome: tot ce trebuie să știți!
Ai ascultat Android Central Podcast din această săptămână?
În fiecare săptămână, Android Central Podcast vă aduce cele mai noi știri tehnologice, analize și recenzii, cu co-gazde familiare și invitați speciali.
- Abonați-vă în Pocket Casts: Audio
- Abonați-vă în Spotify: Audio
- Abonați-vă în iTunes: Audio
Este posibil să câștigăm un comision pentru achiziții folosind linkurile noastre. Aflați mai multe.
Acestea sunt cele mai bune căști fără fir pe care le puteți cumpăra la orice preț!
Cele mai bune căști fără fir sunt confortabile, sună grozav, nu costă prea mult și se încadrează ușor într-un buzunar.
Tot ce trebuie să știți despre PS5: data lansării, prețul și multe altele.
Sony a confirmat oficial că lucrează la PlayStation 5. Iată tot ce știm despre asta până acum.
Nokia lansează două noi telefoane Android One bugetare sub 200 USD.
Nokia 2.4 și Nokia 3.4 sunt cele mai recente adăugiri la gama de smartphone-uri bugetare HMD Global. Deoarece ambele sunt dispozitive Android One, li se garantează că primesc două actualizări majore ale sistemului de operare și actualizări regulate de securitate timp de până la trei ani.
Condimentați smartphone-ul sau tableta cu cele mai bune pachete de pictograme pentru Android.
Posibilitatea de a vă personaliza dispozitivul este fantastic, deoarece vă ajută să vă faceți dispozitivul și mai „propriu”. Cu puterea Android, puteți utiliza lansatoare terțe pentru a adăuga teme de pictograme personalizate și acestea sunt doar câteva dintre preferatele noastre.