Af Eskil Sørensen, 19/08/22
Google har udsendt 11 sikkerhedsrettelser til Chrome i denne uge, hvoraf en af dem håndterer en 0-dagssårbarhed, der pt. er under udnyttelse.
Det skriver Dark Reading.
Fejlen har id’et CVE-2022-2856 og karakteriseres som værende alvorlig – hvilket betyder en score på mellem syv og ni på CVSS-skalaen.
Fejlen vedrører ’insufficient validation of untrusted input in Intents’, hvilket betyder at browseren ikke validerer inputtet korrekt. Dette er et problem hvis en angriber er i stand til at lave et specielt input (f.eks. et indlæg i kommentarfeltet på et websted), der ikke forventes af applikationen. Ifølge MITRE kan det betyde, at dele af systemet ikke kan vurdere om inputtet er ondartet og det kan resultere i ændret kontrolflow, vilkårlig kontrol af en ressource eller vilkårlig afvikling af kode.
Opdateringen bliver ifølge Google skubbet ud i etaper med automatiske opdateringer aktiveret til Windows, Mac og Linux. Som altid vil man dog selv kunne opdatere manuelt via Indstillinger > Hjælp> Om Google Chrome. Herefter søger browseren selv efter opdateringen og installerer den.
Dark Reading skriver, at 0-dagssårbarheden er den femte aktivt sårbarhed, der er blevet afdækket i Chrome i 2022. De foregående fire var: CVE-2022-0609 (februar), CVE-2022-1096 (marts), CVE-2022-1364 (april) og CVE -2022-2294 (juli).
Links:
https://www.darkreading.com/application-security/google-chrome-zero-day-...
https://chromereleases.googleblog.com/2022/08/stable-channel-update-for-desktop_16.html