Ochiq dasturiy komponentlar uchun patchlar chiqarilishi va dasturiy ta'minotning o'zi, buzg'unchilarga ekspluatatsiya tayyorlash uchun vaqt beradi.
Exodus Intelligence xavfsizlik bo'yicha tadqiqotchisi Ishtvan Kuruchay Chrome tarkibiy qismlaridan birida jiddiy zaiflikni aniqladi, bu hujumchilarga to'g'ridan-to'g'ri jabrlanuvchining brauzerida zararli kodni amalga oshirishga imkon beradi.
Muammo ochiq manbali V8 JavaScript dvigateli bilan bog`liq. O'tgan oyda dvigatel ishlab chiquvchilari tuzatish kiritdilar ammo Chrome foydalanuvchilari yangilangan versiyasini bugun, 10-sentyabr kuni, Chrome 77 chiqganidan keyin olishadi. Ochiq manbali komponentlar uchun patchlarni chiqarish va ular ishlatiladigan dasturiy ta'minot orasidagi bo'shliqlar «patch gap» oralig'i deb ataladi.
Bunday «patch gap» bo'shliqlar katta xavf tug'diradi, chunki ular hujumchilarga ekspluatatsiya tayyorlash uchun etarli vaqt berishadi. Kuruchayining so'zlariga ko'ra, kiber jinoyatchilar V8 o'zgartirish jurnalini sinchkovlik bilan o'rganish, xavfsizlik patchlarini tahlil qilish va Chrome ga hujumlarda ishlatilishi mumkin bo'lgan ekspluatatsiyani ishlab chiqish uchun bir necha hafta vaqti bo`lgan. Chrome uchun ekspluatatsiya yaratish oson ish emasligiga qaramay, uni yaxshi JavaScript ko'nikmalariga ega bo'lgan tajovuzkor hal qilishi mumkin.
Buni isbotlash uchun Kuruchay GitHub da PoC brauzeri zararli kodni ishga tushirishga imkon beradigan V8-dagi zaiflik uchun ekspluatatsiya qildi. Lekin muvaffaqiyatli hujum uchun bitta ekspluatatsiya etarli emas. Tatqiqotchining ta`kidlashicha, zaifliklarni chetlab o'tib, sinov muhitidan foydalanish mumkin ammo bu muammo emas. Hujumchilar Chrome ning eski versiyalarida va brauzerini yangilamagan, foydalanuvchilarga allaqachon ma'lum bo'lgan sinov muhitidagi zaifliklarni ishlatishlari mumkin.
Batafsil: https://www.securitylab.ru/news/500913.php