科技前沿看點Google修補了一個神秘的零日Chrome瀏覽器漏洞

新時代高科技不計其數越來越發達,小伙伴們看過不少科技新聞吧,在我們生活中應該也用到很多這些高科技東西,有哪些小伙伴值的關注的呢,今天就跟大家分享一篇有關科技方面知識,希望大家會喜歡。

你需要知道的:

Google已在Chrome中修補了一個神秘的零日游。

該公司意識到存在漏洞,并且在補丁發布給用戶時尚未詳細說明該漏洞。

該修補程序當前可用于Windows,Mac和Linux。

谷歌本周發布了最新版Chrome v80的補丁程序,旨在解決三個漏洞,其中包括一個未詳細介紹的0天神秘漏洞。

最新的Chrome更新補丁CVE-2020-6418,@ _ clem1在野外發現0day:https://t.co/H2j5PXO8gV pic.twitter.com/K2GoOJCPgf

-Antti Tikkanen(@anttitikkanen)2020年2月24日

Google沒有分享有關該攻擊的更多信息,它可能會阻止該補丁廣泛發布。例如,可能在Chromebook上提供補丁的Chrome OS v 80,例如在撰寫本文時尚不可用。

那么,這個神秘錯誤到底是什么?線索在于名字。Google在V8(Chrome的javascript引擎)中將其稱為“類型混淆”錯誤。

好,很好,這些都是單詞。為什么這么糟?好吧,正如Sophos的安全研究人員所解釋的那樣:

類型混淆錯誤是您可以誘使程序為某個目的(數據類型A)保存數據,但隨后又將其用于其他目的(數據類型B)的程序。

想象一下,當程序將其視為B型時,對于允許它存儲到內存中的值非常謹慎。

例如,如果“ B型”存儲位置跟蹤了一個存儲地址(一個指針,使用專業術語),那么程序可能會竭盡全力阻止您隨意修改它。

否則,您最終可能會從不應該訪問的存儲位置讀取機密數據,或者執行未知且不受信任的程序代碼(例如惡意軟件)。

另一方面,用于存儲某些內容(例如您剛剛從菜單中選擇的顏色)的內存位置可能會愉快地接受您喜歡的任何值,例如0x00000000(表示完全透明)一直到0xFFFFFFFF(表示亮白色且完全不透明)。

因此,如果您可以讓程序在低風險的假設下(即它正在存儲一種顏色)將其寫入內存,但稍后使用該“顏色”作為其認為是受信任的內存地址,以便將程序執行轉移到您的惡意軟件代碼…

…您只是使用類型混淆來繞過應該應用于內存指針的安全檢查。

TL:DR:如果積極利用此漏洞,惡意軟件可以裝扮成三個孩子,穿著風衣,并且進行愚蠢的安全檢查,目的是將惡意軟件拒之門外。Google已經為大多數人修復了Chrome中的漏洞,請隨時更新您的瀏覽器以獲得最大程度的保護。

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時候聯系我們修改或刪除,多謝