0-dagssårbarhed i Chrome udnyttes vildt
Google har udsendt 11 nye sikkerhedsrettelser til Chrome i denne uge, hvoraf en af dem håndterer en 0-dagssårbarhed, der pt. er under udnyttelse. Dette bliver udnyttes pt. ’in-the-wild’ jf. Dark Reading.
CVE-2022-2856 er fejlens id nummer og karakteriseres som værende alvorlig – hvilket betyder en score på mellem syv og ni på CVSS-skalaen.
Fejlen vedrører “insufficient validation of untrusted input in Intents”. Det betyder at browseren ikke validerer inputtet korrekt. Dette er et problem hvis en angriber er i stand til at lave et specielt input (f.eks. et indlæg i kommentarfeltet på et websted), der ikke forventes af applikationen. Ifølge MITRE kan det betyde, at dele af systemet ikke kan vurdere om inputtet er ondartet og det kan resultere i ændret kontrolflow, vilkårlig kontrol af en ressource eller vilkårlig afvikling af kode. Opdateringen bliver ifølge Google skubbet ud i etaper med automatiske opdateringer aktiveret til Windows, Mac og Linux.
Som altid vil man dog selv kunne opdatere manuelt via Indstillinger > Hjælp> Om Google Chrome. Herefter søger browseren selv efter opdateringen og installerer den.
Dark Reading fortæller, at 0-dagssårbarheden er den femte aktive sårbarhed, der er blevet afdækket i Chrome i 2022.
De foregående fire var: CVE-2022-0609 (februar), CVE-2022-1096 (marts), CVE-2022-1364 (april) og CVE -2022-2294 (juli).
https://www.darkreading.com/application-security/google-chrome-zero-day-…
https://chromereleases.googleblog.com/2022/08/stable-channel-update-for-desktop_16.html
Kilde: ICARE.DK og Dark Reading
Fotokredit: Google’s logo