Af Eskil Sørensen, 01/09/22
Google har udsendt en ny version af Chrome, nr. 105, som indeholder rettelser til 24 sårbarheder, inkl. 13 use-after-free- og heap buffer overflow-fejl. Det skriver Security Week.
21 af de fejlene er blevet indrapporteret af eksterne researchere, hvilket har medført dusører på op til 10.000 dollar pr. sårbarhed. I alt blev der uddelt mere end 60.000 dollar i ’bug bounty’-dusører.
Der er ikke oplysninger om, at nogen af sårbarhederne skulle være udnyttet i ondsindede angreb. I år har der dog være fem dokumenterede Chrome 0-dagssårbarheder, der er blevet udnyttet i angreb. Den seneste af dem blev behandlet for omkring to uger siden.
Ni sikkerhedsproblemerne er såkaldte use-after-free sårbarheder, skriver Dark Reading. Det er fejl, der tillader angribere at bruge tidligere frigjort hukommelse til at afvikle ondsindet kode, korrumpere data eller udføre andre ondsindede handlinger. Fire andre rettelser håndtere heap buffer-overflows i forskellige Chrome-komponenter, herunder WebUI og Screen Capture. Heap buffer overflow kan udnyttes af angribere bl.a. eksekvering af kode, overskrivning af data, nedbrud af systemer og denial-of-service.
Fejl ved udklipsholderfunktionen ikke rettet
Google har ifølge Dark Reading ikke rettet et problem ved udklipsholdere. Fejlen indebærer, at en bruger i forbindelse med besøg på et websted risikerer uden samtykke at få overskrevet det indhold, der måtte være på brugerens OS-udklipsholder. Det kan resultere i, at brugere mister data, som de måske ville have ønsket at klippe og indsætte andre steder. Samtidig kan det give angribere en åbning til at forsøge at snige ondsindet kode på en brugers system.
Opdateringen bliver skubbet ud i etaper vha. automatiske opdateringer, hvis det er aktiveret til Windows, Mac og Linux. Som altid vil man dog selv kunne opdatere manuelt via Indstillinger > Hjælp> Om Google Chrome. Herefter søger browseren selv efter opdateringen og installerer den efter en genstart.
Links:
https://www.securityweek.com/chrome-105-patches-critical-high-severity-vulnerabilities