Domov      Nastavenia 
RSS English Slovensky

Zahraničné zdroje
Nahlásené incidenty
1.1.2019 - 31.12.2019
 

Graf

Za posledné tri týždne spoločnosť Google opravila už štvrtú a piatu zero-day zraniteľnosť v prehliadači Chrome

16.11.2020
Závažné zraniteľnosti sa nachádzajú v prehliadači Chrome. CVE-2020-16013 súvisí s nesprávnou implementáciou komponentu V8, pričom môže viesť k vzdialenému vykonávaniu kódu. CVE-2020-16017 sa týka komponentu, ktorý slúži na izoláciu údajov rôznych webových stránok a jej zneužitie môže spôsobiť poškodenie pamäte a umožniť vykonávanie ľubovoľného kódu.

 

Dôsledky

  • Vzdialené vykonávanie kódu
  • Poškodenie pamäte
  • Zlyhanie aplikácie

Opis činnosti
CVE-2020-16013, CVE-2020-16017

Na rozdiel od predošlých troch zero-day zraniteľností v prehliadači Chrome (CVE-2020-15999, CVE-2020-16009 a CVE-2020-16010), obe tieto chyby boli nahlásené spoločnosti Google anonymným zdrojom. CVSS skóre týchto zraniteľností je 8.4.

Zraniteľnosť CVE-2020-16013 bola nahlásená 9. novembra 2020, pričom sa týka nesprávnej implementácie komponentu V8 pre prehliadač Chrome. Je možné, že táto chyba súvisí práve s CVE-2020-16009, ktorá bola spôsobená tiež nesprávnou implementáciou tohto komponentu.

CVE-2020-16017 bola nahlásená 7. novembra 2020. Súvisí s použitím odalokovaného miesta v pamäti, čo môže viesť k jej poškodeniu a možnosti vykonávať ľubovoľný kód. Táto chyba sa týka komponentu prehliadača Chrome, ktorý od seba izoluje údaje rôznych webov.

Spoločnosť Google sa rozhodla zatiaľ nezverejňovať viac podrobností o týchto zraniteľnostiach, aby používatelia mali dostatok času na aktualizáciu. Za posledné tri týždne sa jedná už o štvrtú a piatu zero-day zraniteľnosť opravenú v prehliadači Chrome. Spoločnosť vydala novú desktopovú verziu 86.0.4240.198 pre Windows, Mac aj Linux, kde tieto chyby opravuje.

Zraniteľné systémy

  • Desktopová verzia prehliadača Chrome verzie nižšej ako 86.0.4240.198

Závažnosť zraniteľnosti
Vysoká

Možné škody
Vzdialené vykonávanie kódu

Odporúčania
Odporúčame bezodkladnú aktualizáciu prehliadača Chrome aspoň na stabilnú verziu 86.0.4240.198.

Odkazy
https://threatpost.com/2-zero-day-bugs-google-chrome
https://thehackernews.com/2020/11/two-new-chrome-0-days-under-active.html
https://www.zdnet.com/article/google-patches-two-more-chrome-zero-days/
https://securityaffairs.co/wordpress/110793/hacking/google-chrome-zero-day-flaws.html
https://chromereleases.googleblog.com/2020/11/stable-channel-update-for-desktop_11.html



<< zoznam oznámení