V komponente V8 prehliadača Chrome bola opravená aktívne zneužívaná zero-day zraniteľnosť

V prehliadači Chrome spoločnosti Google bola opravená aktívne zneužívaná zraniteľnosť, ktorá existuje v komponente V8. Jedná sa o pretečenie medzipamäte haldy. Spoločnosť Google zatiaľ nezverejnila viac informácií. Chce počkať, kým si väčšina používateľov nainštaluje najnovšiu dostupnú aktualizáciu.

Dôsledky

  • Pretečenie medzipamäte haldy
  • Vzdialené vykonávanie kódu
  • Zrútenie prehliadača Chrome

Opis činnosti
CVE-2021-21148

Spoločnosť Google vydala opravu pre aktívne zneužívanú zraniteľnosť CVE-2021-21148. Túto chybu nahlásil Mattias Buelens 24. januára 2021. Jedná sa o pretečenie medzipamäte haldy v komponente V8 prehliadača Chrome.

Aj napriek tomu, že chyby týkajúce sa pretečenia pamäte zvyčajne vedú k zrúteniu aplikácie, zneužitím aktuálne opravenej zraniteľnosti by mohol byť útočník schopný vzdialene vykonávať ľubovoľný kód.

Spoločnosť vyhlásila, že si je vedomá aktívneho zneužívania, a preto o chybe nezverejnila detailné informácie. Podrobnejšie informácie budú uverejnené, keď si väčšina používateľov nainštaluje najnovšiu aktualizáciu.

Spoločnosť Google túto zraniteľnosť hodnotí ako závažnú. Je opravená v najnovšej verzii 88.0.4324.150 prehliadača Chrome pre Windows, Mac aj Linux.

Zraniteľné systémy

  • Desktopová verzia prehliadača Chrome verzie nižšej ako 88.0.4324.150 pre Windows, Mac a Linux

Závažnosť zraniteľnosti
Vysoká

Možné škody
Vzdialené vykonávanie kódu
Nedostupnosť služby

Odporúčania
Odporúčame bezodkladnú aktualizáciu prehliadača Chrome na stabilnú verziu 88.0.4324.150.

Odkazy
https://www.securityweek.com/google-chrome-microsoft-ie-zero-days-crosshairs
https://thehackernews.com/2021/02/new-chrome-browser-0-day-under-active.html
https://nakedsecurity.sophos.com/2021/02/05/chrome-zero-day-browser-bug-found-patch-now/
https://threatpost.com/google-chrome-zero-day-windows-mac/163688/
https://www.zdnet.com/article/google-patches-an-actively-exploited-chrome-zero-day/
https://www.bleepingcomputer.com/news/security/google-fixes-chrome-zero-day-actively-exploited-in-the-wild/