谷歌Chrome爆“全鏈”高危零日漏洞,賽博昆侖漏洞預測產品提供提前保護

  • 人閱讀
  • 2021-09-14 18:49:25

  • 來源:中華網

  • 相關關鍵詞

北京時間9月14日, 谷歌發(fā)布了Chrome瀏覽器的93.0.4577.82桌面版本更新,著重修補了兩個被“在野”利用的Chrome零日漏洞CVE-2021-30632和CVE-2021-30633。這兩個被谷歌標記為“高危”的漏洞可以使攻擊者完全控制上網用戶的電腦,建議用戶盡快更新升級。而這兩個漏洞,前360 CTO知名黑客MJ(鄭文彬)創(chuàng)立的賽博昆侖公司,早在今年四月份就提前精準預測到,并為其產品用戶進行了針對性的提前保護。

谷歌Chrome爆“全鏈”高危零日漏洞,賽博昆侖漏洞預測產品提供提前保護

圖:谷歌Chrome瀏覽器官方發(fā)布公告

據(jù)安全專家分析,這兩個漏洞分別存在于Chrome瀏覽器的“V8”腳本引擎和索引數(shù)據(jù)庫API中,攻擊者結合這兩個漏洞,可以構造一個被稱為“Full Chain”的完整攻擊鏈。當用戶使用Chrome核的瀏覽器訪問惡意網址,其中利用這兩個漏洞的代碼就能完全控制用戶的電腦。

通過這類高危零日漏洞進行的攻擊,通常很難被安全軟件或解決方案捕獲,因此全球的安全研究員都在爭分奪秒,試圖在惡意攻擊者之前發(fā)現(xiàn)并修復、防御這些漏洞。這也是我們每天看到主流的操作系統(tǒng)、應用軟件都要經常打補丁、升級更新的原因。

在這些漏洞里,最危險、影響力最大的就要數(shù)“在野”漏洞。

所謂的“在野”漏洞,就是當惡意攻擊者比軟件廠商、第三方的安全研究人員更早地發(fā)現(xiàn)了漏洞,并利用這些漏洞對目標的用戶進行攻擊。

由于在彼時,沒有人知道這個漏洞的情況,理論上來說,除非提前知道攻擊者使用的漏洞,沒有手段能夠100%防御這樣的攻擊,而一旦遭到零日漏洞這樣的高級攻擊手法,受害者往往會在瞬間丟失重要的數(shù)據(jù)資產,或者導致其所在的內部網絡遭到更進一步的入侵。可以說,一旦你被“在野”漏洞盯上,基本上就逃脫不了“被黑”的結果。

而在今年,這種局面可能將會被改變。八月初,前360 CTO,知名黑客MJ(鄭文彬)創(chuàng)立的賽博昆侖公司,公開宣布旗下一款可以對零日漏洞,尤其是“在野”零日漏洞進行精準、提前防御的安全產品:洞見平臺,宣稱通過其獨家的“漏洞預測”、“提前漏洞防御”技術,可以早在“在野”漏洞被發(fā)現(xiàn)、被利用之前,就對用戶進行精準保護,防患于未然。

據(jù)賽博昆侖CEO鄭文彬介紹,就在這次谷歌“全鏈”“在野”零日漏洞攻擊事件中, 旗下負責“漏洞預測”技術的昆侖實驗室,就提前精確預測了鏈條中的關鍵漏洞:CVE-2021-30632,并提前近半年時間,也就是早在今年的四月份,就為其產品用戶進行了針對性的提前保護。

“被昆侖實驗室提前發(fā)現(xiàn)的漏洞CVE-2021-30632,屬于該攻擊鏈條中最初的、也是最核心的一環(huán),我們的防御產品結合云端的漏洞情報庫,能為用戶及時切斷針對該漏洞的利用,就堵死了這個“在野”利用的攻擊”,鄭文彬分析道,他也提供了一些同這個漏洞相關的證明:

谷歌Chrome爆“全鏈”高危零日漏洞,賽博昆侖漏洞預測產品提供提前保護

圖:谷歌官方CVE-2021-30632補丁代碼

谷歌Chrome爆“全鏈”高危零日漏洞,賽博昆侖漏洞預測產品提供提前保護

圖:昆侖實驗室研究員提前發(fā)現(xiàn)(4月20日)漏洞相關PoC代碼(處于安全考慮隱去關鍵部分)

“當然,這個漏洞只是我們?yōu)榭蛻籼崆胺烙谋揭唤?,恰好?ldquo;在野”的攻擊者用到,從而進入公眾的視野,實際上我們一直在為客戶默默提供著,包括不同高危漏洞的提前保護等在內的多種不同防御解決方案”,鄭文彬介紹道。

隨著數(shù)據(jù)安全、系統(tǒng)安全的重要性越來越凸顯,網絡安全攻防的重點和關鍵戰(zhàn)場也越來越向基于主機、針對漏洞的方向傾斜。

就在谷歌發(fā)布緊急安全升級的同一天,蘋果的iOS系統(tǒng)也被爆出多個高危的“在野”零日漏洞。通過這些漏洞,惡意的攻擊者僅須向目標手機發(fā)送一條匿名短信,不需要被害者打開短信,其手機就會被完全控制,導致手機內重要數(shù)據(jù)泄露、手機淪為攻擊者的“竊聽器”、“定位器”。

據(jù)分析,自2021年初至今,全球已經發(fā)生近百起使用不同的“在野”零日漏洞進行的網絡攻擊, 涉及數(shù)十億臺終端設備、服務器和云計算網絡。網絡安全市場急需新型安全解決方案,為企業(yè)和用戶的核心資產、業(yè)務提供切實有效的保護能力。

(免責聲明:本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網站出現(xiàn)的信息,均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時,應及時向本網站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內容或斷開相關鏈接。 )