Versiunile desktop ale browserului au primit în total opt remedieri, jumătate dintre ele evaluate cu severitate ridicată.

Google și-a actualizat browserul web Chrome, remediind patru erori cu un grad de severitate de „ridicat” dintr-un total de opt. Trei sunt defecte de utilizare care ar putea permite unui adversar să genereze o eroare în memoria browserului, deschizând ușa unui hack de browser și compromiterea computerului gazdă.

Vineri, Cybersecurity and Infrastructure Security Agency (CISA) a emis un buletin de securitate prin care solicita utilizatorilor și administratorilor să aplice actualizarea. Agenția a avertizat că vulnerabilitățile pot fi folosite de un atacator „pentru a prelua controlul unui sistem afectat”.

Potrivit buletinului de securitate Google din decembrie, versiunile anterioare de Windows, macOS și Linux ale browserului de desktop Chrome sunt vulnerabile la atacuri. O versiune actualizată 87.0.4280.88 a Chrome abordează erorile și „va fi lansată în următoarele zile/săptămâni”, a scris Google.

Cum să vă actualizați manual browserul Chrome

Pentru a vă actualiza manual browserul Chrome, accesați meniul drop-down de personalizare Chrome din partea dreaptă sus a clientului. Din acel meniu selectați „Help”, apoi „About Google Chrome”. Deschiderea respectivului element de meniu declanșează automat Chrome pentru a căuta actualizări.

Detaliile legate de fiecare dintre erori sunt reținute în acest moment, a spus Google, „până când majoritatea utilizatorilor sunt actualizați cu o remediere”. De asemenea, a menționat că atunci când și dacă există erori în bibliotecile de coduri ale unor terțe părți, utilizate pe alte dispozitive sau platforme, detaliile tehnice ale erorilor vor fi limitate.

Defecțiuni ale erorilor: defecțiune Linux unică

Trei erori de severitate ridicată includ fiecare elemente de utilizare care afectează memoria, legate de clipboardul Chrome, componentele media și componentele extensiilor. Bug-urile sunt catalogate ca CVE-2020-16037, CVE-2020-16038 și CVE-2020-16039.

Al patrulea bug cu severitate ridicată (CVE-2020-16040) afectează motorul JavaScript și WebAssembly open-source și de înaltă performanță al Google, numit V8. Bug-ul este identificat ca un defect de insuficientă validare a datelor, care, în unele cazuri, deschide ținte atacurilor de scripting între site-uri.

Motorul V8 JavaScript de la Google a primit, de asemenea, un al doilea patch în această lună – una dintre cele două erori de severitate medie raportate în luna decembrie. Urmărită ca CVE-2020-16042, această problemă este identificată ca o eroare de „utilizare neinițializată” care afectează V8. Din buletinul Google nu este clară natura exactă a defectului, însă cercetătorii în materie de securitate cibernetică au descris aceste tipuri de bug-uri cu utilizare neinițializată drept „în mare măsură trecute cu vederea” și adesea „considerate ca erori de memorie nesemnificative”.

„[Acestea] sunt de fapt un vector de atac critic care poate fi exploatat în mod fiabil de către hackeri pentru a lansa atacuri de escalare a privilegiilor în nucleul Linux”, potrivit cercetărilor din 2017 publicate de Georgia Institute of Technology.

Un al doilea bug de severitate medie (CVE-2020-16041) este o vulnerabilitate „citită în afara rețelelor în rețea”. Acest lucru ar putea permite unui adversar să acceseze necorespunzător obiectele din memorie. În timp ce detaliile tehnice ale CVE sunt, de asemenea, ținute confidențiale, acest tip de vulnerabilitate ar putea permite unui adversar neautentificat să trimită un mesaj malformat către software-ul vulnerabil. Din cauza validării insuficiente a mesajului, programul vizat ar putea fi forțat să se blocheze.

Google a recunoscut mai mulți cercetători în domeniul securității care au contribuit la identificarea erorilor din această lună. Lui Ryoya Tsukasaki i s-a mulțumit că a găsit eroarea CVE-2020-16037 în clipboard-ul Chrome, care i-a adus cercetătorului o recompensă de 5.000 de dolari. Khalil Zhani, Lucas Pinheiro, Sergei Glazunov, André Bargull și Mark Brand au fost, de asemenea, creditați pentru eforturile lor de vânătoare de bug-uri.

Sursa: Threatpost.com