Google Chrome 102.0.5005.115 κλείνει 4 high-risk κενά ασφαλείας

Η Google αποκάλυψε τέσσερα κενά ασφαλείας υψηλού κινδύνου στον Google Chrome. Η CISA αναφέρει ότι οι χρήστες θα πρέπει να εγκαταστήσουν άμεσα τις ενημερώσεις.

chrome 0day

Η Google κυκλοφόρησε ορισμένες ενημερώσεις για τον Chrome που διορθώνουν επτά – συμπεριλαμβανομένων τεσσάρων που χαρακτηρίζονται ως υψηλού κινδύνου.

Σύμφωνα με προειδοποίηση της Υπηρεσίας Κυβερνοασφάλειας και Υποδομής των Ηνωμένων Πολιτειών (CISA από το Cybersecurity & Infrastructure Agency), οι εισβολείς θα μπορούσαν να εκμεταλλευτούν τα τρωτά του Google Chrome σε Windows, Mac και Linux “για να πάρουν τον έλεγχο ενός επηρεαζόμενου συστήματος”.

Η CISA ενθαρρύνει τους χρήστες να ενημερώσουν άμεσα στην τελευταία έκδοση του Google Chrome – 102.0.5005.115 – για να αποτρέψουν το exploit των τρωτών σημείων.

Τα κενά ασφαλείας υψηλού κινδύνου είναι το CVE-2022-2007, μια ευπάθεια Use-After-Free (UAF) στο WebGPU, η οποία επιτρέπει στους εισβολείς να εκμεταλλεύονται την εσφαλμένη χρήση της δυναμικής μνήμης κατά τη λειτουργία του προγράμματος για να χακάρουν το .

Το CVE-2022-2008, μια ευπάθεια out-of-bounds memory access στο WebGL, ένα JavaScript API που χρησιμοποιείται στο Google Chrome. Μια ευπάθεια out-of-bounds επιτρέπει στους εισβολείς να διαβάζουν ευαίσθητες πληροφορίες στις οποίες δεν θα έπρεπε να έχουν .

Οι άλλες ευπάθειες υψηλού κινδύνου στο Google Chrome που διορθώνει η ενημέρωση ασφαλείας είναι οι:
CVE-2022-2010, μια ευπάθεια out-of-bounds read στο στοιχείο σύνθεσης του Chrome και CVE-2022-2011, μια ευπάθεια UAF στο ANGLE, ένα open source, cross-platform graphics engine που χρησιμοποιείται στο backend του Chrome.

Δεν έχουν αποκαλυφθεί ακόμη περισσότερες λεπτομέρειες καθώς η πολιτική της Google δεν το επιτρέπει αν δεν εγκαταστήσουν την ενημέρωση οι περισσότεροι χρήστες του Chrome.

“Η πρόσβαση σε λεπτομέρειες και συνδέσμους σφαλμάτων ενδέχεται να παραμείνει περιορισμένη έως ότου η πλειοψηφία των χρηστών ενημερώσει. Θα διατηρήσουμε επίσης αυτούς τους περιορισμούς εάν το σφάλμα υπάρχει σε κάποια βιβλιοθήκη τρίτου μέρους από την οποία εξαρτώνται κι άλλα projects, που δεν έχουν επιδιορθωθεί ακόμη,” αναφέρει η Google για την κυκλοφορία του Chrome.

Το CVE-2022-2010 αποκαλύφθηκε από την ερευνητική Zero της Google, ενώ τα άλλα κενά ασφαλείας ανακαλύφθηκαν από ανεξάρτητους ερευνητές ασφαλείας. Ο ερευνητής ασφαλείας David Manouchehri έλαβε ένα bug bounty ύψους 10.000$ για την αποκάλυψη του CVE-2022-2007. Τα bug bounty για τους ερευνητές που ανακάλυψαν τα CVE-2022-2008 και CVE-2022-2011 δεν έχουν ανακοινωθεί ακόμη.

“Θα θέλαμε επίσης να ευχαριστήσουμε όλους τους ερευνητές ασφαλείας που συνεργάστηκαν μαζί μας κατά τη διάρκεια του κύκλου ανάπτυξης για να αποτρέψουμε στα σφάλματα ασφαλείας να φτάσουν στο σταθερό κανάλι”, δήλωσε η Google.

https://chromereleases.googleblog.com/2022/06/stable-channel-update-for-desktop.html

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.
chrome,Chrome Google,iguru

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).