Domov      Nastavenia 
RSS English Slovensky

Aktuálne
Zahraničné zdroje
Nahlásené incidenty
1.1.2018 - 31.12.2018
 

Graf

Kritická zero-day zraniteľnosť Google Chrome umožňuje vzdialene vykonávať kód

05.11.2019
Dňa 31.10.2019 bola publikovaná oprava kritickej zero-day zraniteľnosti v prehliadači Google Chrome, konkrétne v jeho audio komponente, umožňujúcej použiť odalokované miesto v pamäti. Bolo zaznamenané aktívne zneužitie tejto zraniteľnosti útočníkmi. Súčasne bola opravené podobná zraniteľnosť v komponente prehliadača PDFium.

 

Dôsledky
Po zneužití zraniteľnosti získa neautentifikovaný útočník možnosť vzdialeného vykonávania ľubovoľného kódu z právomocami práve prihláseného používateľa.

Opis činnosti
CVE-2019-13720, CVE-2019-13721

Zraniteľnosť v audio komponente prehliadača Google Chrome spočíva v chybe pri správe pamäte, kedy je dealokovaná pamäť v dôsledku chyby v súbehu dvoch vlákien opätovne použitá, čo je možné zneužiť na vykonanie škodlivého kódu. Útočníkom stačí presvedčiť obeť, aby navštívila pripravenú škodlivú stránku, čo im následne umožní získať zvýšené práva v prehliadači Chrome, uniknúť z chráneného priestoru (sandbox) a vykonávať ľubovoľný kód v zraniteľnom systéme. Podobný mechanizmus má aj zraniteľnosť v komponente PDFium.

Zraniteľnosť CVE-2019-13720 je aktívne zneužívaná.

Zraniteľné systémy
Google Chrome 78.0.3904.70 a staršie

Závažnosť zraniteľnosti
Vysoká

Možné škody
Vzdialené vykonávanie kódu

Odporúčania
Čo najskôr aplikovať aktualizáciu na publikovanú ošetrenú verziu 78.0.3904.87

Odkazy
https://chromereleases.googleblog.com/2019/10/stable-channel-update-for-desktop_31.html
https://thehackernews.com/2019/11/chrome-zero-day-update.html



<< zoznam oznámení