Google släppte den här veckan en korrigering till den senaste versionen av Chrome, v80, som syftar till att krossa tre sårbarheter, inklusive en mystisk 0-dagars sårbarhet som inte var detaljerad.
Senaste uppdateringsfilerna för Chrome CVE-2020-6418, 0day hittades i naturen av @ _clem1: https://t.co/H2j5PXO8gVpic.twitter.com/K2GoOJCPgf
- Antti Tikkanen (@anttitikkanen) 24 februari 2020
Google delade inte mer information om attacken, och det håller sannolikt på tills plåstret har rullat ut allmänt. Chrome OS v 80, som antagligen skulle leverera korrigeringsfilen till Chromebooks, är inte tillgänglig än vid skrivningstillfället till exempel.
Så vad exakt är detta mystery bug? Ledtråden ligger i namnet. Google kallar det för ett '' typ förvirring '' - fel i V8 (Chrome's javascript engine).
Verizon erbjuder Pixel 4a för bara $ 10 / månad på nya obegränsade linjer
Okej, bra, det är ord. Varför är det dåligt? Som förklarats av säkerhetsforskarna över kl Sophos:
En typ förvirringsfel är där du kan lura ett program för att spara data för ett syfte (datatyp A) men sedan använda det senare för ett annat syfte (datatyp B).
Tänk dig att ett program är mycket försiktigt med vilka värden det låter dig lagra i minnet när du behandlar det som typ B.
Till exempel om en minnesplats av typ B håller reda på en minnesadress (en pekare för att använda jargongord), då kommer programmet antagligen att gå mycket långt för att hindra dig att ändra det hur du än gör tycka om.
Annars kan det hända att du kan läsa hemlig data från minnesplatser som du inte ska komma åt, eller att köra okänd och otillförlitlig programkod som skadlig kod.
Å andra sidan kan en minnesplats som används för att lagra något som en färg du just valt från en meny med glädje acceptera alla värde du gillar, till exempel 0x00000000 (vilket betyder helt transparent) hela vägen till 0xFFFFFFFF (vilket betyder ljusvitt och helt ogenomskinligt).
Så om du kan få programmet att låta dig skriva till minnet under antagandet om låg risk att det lagrar en färg, men senare att använda den "färgen" som vad den tycker är en pålitlig minnesadress för att överföra programkörning till din skadlig kod koda…
... du använde precis typförvirring för att kringgå säkerhetskontrollerna som borde ha tillämpats på minnepekaren.
TL: DR: Om denna sårbarhet utnyttjas aktivt kan skadlig kod klä sig ut som tre barn i en trenchcoat och lura säkerhetskontroller som är avsedda att hålla bort skadlig kod. Google har redan fixat sårbarheten i Chrome för de flesta, så uppdatera din webbläsare för maximalt skydd.
Chrome: Allt du behöver veta!
Har du lyssnat på veckans Android Central Podcast?
Varje vecka ger Android Central Podcast dig de senaste tekniska nyheterna, analyserna och hot-take, med bekanta medvärdar och specialgäster.
- Prenumerera i Pocket Cast: Audio
- Prenumerera på Spotify: Audio
- Prenumerera i iTunes: Audio
Vi kan tjäna en provision för inköp med våra länkar. Läs mer.
Det här är de bästa trådlösa öronsnäckorna du kan köpa till varje pris!
De bästa trådlösa öronsnäckorna är bekväma, låter fantastiskt, kostar inte för mycket och sitter lätt i fickan.
Allt du behöver veta om PS5: Släppdatum, pris och mer.
Sony har officiellt bekräftat att de arbetar på PlayStation 5. Här är allt vi vet om det hittills.
Nokia lanserar två nya budget Android One-telefoner under 200 dollar.
Nokia 2.4 och Nokia 3.4 är de senaste tillskotten till HMD Globals budget smartphone-sortiment. Eftersom de båda är Android One-enheter får de garanterat två stora OS-uppdateringar och regelbundna säkerhetsuppdateringar i upp till tre år.
Krydda din smartphone eller surfplatta med de bästa ikonpaketen för Android.
Att kunna anpassa din enhet är fantastiskt eftersom det hjälper till att göra din enhet ännu mer "egen". Med kraften från Android kan du använda tredjepartslanseringar för att lägga till anpassade ikonteman och det här är bara några av våra favoriter.