Ďalšia aktívne zneužívaná zero-day zraniteľnosť v prehliadači Chrome

18. marca 2021

V prehliadači Chrome spoločnosti Google bola opravená ďalšia aktívne zneužívaná zero-day zraniteľnosť. Súvisí s použitím odalokovaného miesta v pamäti v nástroji Blink. Úspešným zneužitím môže dôjsť k vzdialenému vykonávaniu kódu alebo k narušeniu dostupnosti systému.

Dôsledky

Vzdialené vykonávanie ľubovoľného kódu
Vykonanie DoS útoku

Opis činnosti
CVE-2021-21193

Závažná zero-day zraniteľnosť CVE-2021-21193 v prehliadači Chrome bola nahlásená anonymným výskumníkom 9. marca. CVSS skóre tejto zraniteľnosti je 8.8. Jedná sa o použitie odalokovaného miesta v pamäti v nástroji Blink, ktorý slúži na vykresľovanie obsahu webstránok. Spoločnosť Google si je vedomá aktívneho zneužívania tejto chyby.

Úspešným zneužitím, t.j. podvrhnutím špeciálne vytvorenej webstránky, by mohol útočník vzdialene vykonávať ľubovoľný kód na systémoch so zraniteľnými verziami prehliadača Chrome, prípadne narušiť dostupnosť systému (DoS). Zraniteľnosť je opravená vo verzii prehliadača Chrome 89.0.4389.90 pre Windows, Mac aj Linux. Podrobnejšie informácie zatiaľ nie sú dostupné, kým si väčšina používateľov neaktualizuje prehliadač na najnovšiu dostupnú verziu.

Zraniteľné systémy

Google Chrome verzie nižšej ako 89.0.4389.90

Závažnosť zraniteľnosti
Vysoká

Možné škody
Vzdialené vykonávanie kódu
Narušenie dostupnosti systému (DoS)

Odporúčania
Bezodkladná aktualizácia Google Chrome na najnovšiu verziu 89.0.4389.90.

Odkazy
https://www.bleepingcomputer.com/news/security/google-fixes-second-actively-exploited-chrome-zero-day-this-month/
https://thehackernews.com/2021/03/another-google-chrome-0-day-bug-found.html
https://securityaffairs.co/wordpress/115600/security/google-chrome-0-day.html
https://chromereleases.googleblog.com/2021/03/stable-channel-update-for-desktop_12.html
https://threatpost.com/google-mac-windows-chrome-zero-day/164759/