0-dagssårbarhed i Chrome udnyttes vildt

Google har udsendt 11 nye sikkerhedsrettelser til Chrome i denne uge, hvoraf en af dem håndterer en 0-dagssårbarhed, der pt. er under udnyttelse. Dette bliver udnyttes pt. ’in-the-wild’ jf. Dark Reading.

CVE-2022-2856 er fejlens id nummer og karakteriseres som værende alvorlig – hvilket betyder en score på mellem syv og ni på CVSS-skalaen.

Fejlen vedrører “insufficient validation of untrusted input in Intents”. Det betyder at browseren ikke validerer inputtet korrekt. Dette er et problem hvis en angriber er i stand til at lave et specielt input (f.eks. et indlæg i kommentarfeltet på et websted), der ikke forventes af applikationen. Ifølge MITRE kan det betyde, at dele af systemet ikke kan vurdere om inputtet er ondartet og det kan resultere i ændret kontrolflow, vilkårlig kontrol af en ressource eller vilkårlig afvikling af kode. Opdateringen bliver ifølge Google skubbet ud i etaper med automatiske opdateringer aktiveret til Windows, Mac og Linux.

Som altid vil man dog selv kunne opdatere manuelt via Indstillinger > Hjælp> Om Google Chrome. Herefter søger browseren selv efter opdateringen og installerer den.

Dark Reading fortæller, at 0-dagssårbarheden er den femte aktive sårbarhed, der er blevet afdækket i Chrome i 2022.

De foregående fire var: CVE-2022-0609 (februar), CVE-2022-1096 (marts), CVE-2022-1364 (april) og CVE -2022-2294 (juli).

https://www.darkreading.com/application-security/google-chrome-zero-day-…

https://chromereleases.googleblog.com/2022/08/stable-channel-update-for-desktop_16.html

Kilde: ICARE.DK og Dark Reading
Fotokredit: Google’s logo

Cybersikkerhed & Nyheder