Domov      Nastavenia 
RSS English Slovensky

Zahraničné zdroje
Nahlásené incidenty
1.1.2019 - 31.12.2019
 

Graf

Spoločnosť Google opravila niekoľko zraniteľností v prehliadači Chrome, pričom dve z nich sú typu zero-day

05.11.2020
Spoločnosť Google vydala záplatu pre niekoľko chýb zabezpečenia. Dve z nich sú typu zero-day, pričom zneužitie prvej môže viesť ku vzdialenému vykonávaniu kódu. Táto zraniteľnosť sa nachádza v komponente V8 pre prehliadač Chrome, pričom súvisí s jeho nesprávnou implementáciou. Ďalšia zero-day zraniteľnosť sa nachádza v prehliadači Chrome pre systém Android. Môže spôsobiť pretečenie medzipamäte haldy.

 

Dôsledky

  • Vzdialené vykonávanie kódu
  • Pretečenie medzipamäte haldy
  • Pretečenie vyrovnávacej pamäte zásobníka

Opis činnosti
CVE-2020-16004, CVE-2020-16005, CVE-2020-16006, CVE-2020-16007, CVE-2020-16008, CVE-2020-16009, CVE-2020-16010, CVE-2020-16011

Spoločnosť Google vydala záplaty pre niekoľko chýb zabezpečenia vo svojom internetovom prehliadači. Medzi nimi sa vyskytovala aj závažná zero-day zraniteľnosť CVE-2020-16009. Zraniteľnosť sa týka nesprávnej implementácie komponentu pre desktopovú verziu prehliadača Chrome s názvom V8. V8 je výkonný nástroj WebAssembly a JavaScript s otvoreným zdrojovým kódom napísaným v jazyku C++. Túto chybu je možné zneužiť na vzdialené vykonávanie kódu.

Opravenou kritickou zero-day zraniteľnosťou v Chrome pre Android je CVE-2020-16010, ktorá súvisí s pretečením medzipamäte haldy v používateľskom rozhraní. Zneužívaná je ako spôsob úniku z kontrolovaného prostredia (sandboxu). Aktualizácia prehliadača Chrome pre Android tiež zahŕňa vylepšenie stability a výkonu.

Spoločnosť Google nezverejnila žiadne ďalšie technické podrobnosti o týchto dvoch zraniteľnostiach, aby používatelia mali dostatok času na inštaláciu aktualizácií. Pre obe tieto chyby bol zverejnený kód pre ich zneužitie.

Aktualizáciou desktopovej verzie prehliadača sú tiež opravené ďalšie závažné zraniteľnosti. CVE-2020-16004 súvisí s použitím odalokovaného miesta v pamäti v používateľskom rozhraní. CVE-2020-16005 sa týka nedostatočného presadzovania pravidiel v ANGLE. Nevhodnú implementáciu V8 je tiež možné zneužiť kvôli zraniteľnosti CVE-2020-16006. CVE-2020-16007 je chyba nedostatočného overovania údajov v inštalátore. Zraniteľnosť CVE-2020-16008 môže spôsobiť pretečenie vyrovnávacej pamäte zásobníka vo WebRTC a CVE-2020-16011 môže spôsobiť pretečenie medzipamäte haldy v používateľskom rozhraní systému Windows.

Zraniteľné systémy

  • Desktopová verzia prehliadača Chrome verzie nižšej ako 86.0.4240.183
  • Chrome pre Android verzie nižšej ako 86.0.4240.185

Závažnosť zraniteľnosti
Vysoká

Možné škody
Vzdialené vykonávanie kódu

Odporúčania
Odporúčame bezodkladnú aktualizáciu prehliadača Chrome na verziu aspoň 86.0.4240.183 a aktualizáciu prehliadača Chrome pre Android na verziu aspoň 86.0.4240.185.

Odkazy
https://www.zdnet.com/article/google-patches-second-chrome-zero-day-in-two-weeks/
https://thehackernews.com/2020/11/new-chrome-zero-day-under-active.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Cyber+Security+Blog%29
https://threatpost.com/chrome-holes-actively-targeted/160890/
https://securityaffairs.co/wordpress/110338/hacking/chrome-zero-day-2.html?utm_source=rss&utm_medium=rss&utm_campaign=chrome-zero-day-2



<< zoznam oznámení