V komponente V8 prehliadača Chrome bola opravená aktívne zneužívaná zero-day zraniteľnosť
V prehliadači Chrome spoločnosti Google bola opravená aktívne zneužívaná zraniteľnosť, ktorá existuje v komponente V8. Jedná sa o pretečenie medzipamäte haldy. Spoločnosť Google zatiaľ nezverejnila viac informácií. Chce počkať, kým si väčšina používateľov nainštaluje najnovšiu dostupnú aktualizáciu.
Dôsledky
- Pretečenie medzipamäte haldy
- Vzdialené vykonávanie kódu
- Zrútenie prehliadača Chrome
Opis činnosti
CVE-2021-21148
Spoločnosť Google vydala opravu pre aktívne zneužívanú zraniteľnosť CVE-2021-21148. Túto chybu nahlásil Mattias Buelens 24. januára 2021. Jedná sa o pretečenie medzipamäte haldy v komponente V8 prehliadača Chrome.
Aj napriek tomu, že chyby týkajúce sa pretečenia pamäte zvyčajne vedú k zrúteniu aplikácie, zneužitím aktuálne opravenej zraniteľnosti by mohol byť útočník schopný vzdialene vykonávať ľubovoľný kód.
Spoločnosť vyhlásila, že si je vedomá aktívneho zneužívania, a preto o chybe nezverejnila detailné informácie. Podrobnejšie informácie budú uverejnené, keď si väčšina používateľov nainštaluje najnovšiu aktualizáciu.
Spoločnosť Google túto zraniteľnosť hodnotí ako závažnú. Je opravená v najnovšej verzii 88.0.4324.150 prehliadača Chrome pre Windows, Mac aj Linux.
Zraniteľné systémy
- Desktopová verzia prehliadača Chrome verzie nižšej ako 88.0.4324.150 pre Windows, Mac a Linux
Závažnosť zraniteľnosti
Vysoká
Možné škody
Vzdialené vykonávanie kódu
Nedostupnosť služby
Odporúčania
Odporúčame bezodkladnú aktualizáciu prehliadača Chrome na stabilnú verziu 88.0.4324.150.
Odkazy
https://www.securityweek.com/google-chrome-microsoft-ie-zero-days-crosshairs
https://thehackernews.com/2021/02/new-chrome-browser-0-day-under-active.html
https://nakedsecurity.sophos.com/2021/02/05/chrome-zero-day-browser-bug-found-patch-now/
https://threatpost.com/google-chrome-zero-day-windows-mac/163688/
https://www.zdnet.com/article/google-patches-an-actively-exploited-chrome-zero-day/
https://www.bleepingcomputer.com/news/security/google-fixes-chrome-zero-day-actively-exploited-in-the-wild/