Chrome

Ingen af de 35 sårbarheder, som Google har rettet med version 62 af Chrome, har fået firmaets højeste risikovurdering. Otte har fået den næsthøjeste.

Den alvorligste sårbarhed findes i behandlingen af MHTML, den næstalvorligste i Skia.

Endvidere indfører Google med denne udgave af browseren øgede advarsler, når man besøger websteder uden kryptering. Hvis brugeren indtaster data, vises siden som "Ikke sikker". Bruger man inkognito-funktionen, vises sidens om "Ikke sikker", uanset om man indtaster data.

I sidste uge lukkede Google tre sikkerhedshuller i Chrome. To af dem har fået firmaets næsthøjeste risikovurdering.

Begge de to sårbarheder ligger i V8. De affødte henholdsvis 7.500 dollars og 3.000 dollars i dusør til de sikkerhedsforskere, der opdagede dem.

Fejlene er rettet i version 61.0.3163.100 til Windows, Macintosh og Linux.

Anbefaling

Genstart Chrome for at aktivere opdateringen.

Sikkerhedsforsker Nicolai Grødum fra Cisco har opdaget en sårbarhed i flere browseres implementering af CSP (Content Security Policy). Formålet med CSP er at sikre, at scripts kun må afvikles fra godkendte kilder.

Sårbarheden gør, at det i nogle tilfælde er muligt at omgå CSP-reglerne. Dermed kan angribere få adgang til fortrolig information.

Google lukkede sikkerhedshullet med version 57.0.2987.98 af Chrome.

Apple lukkede det med iOS 10.3 og Safari 10.1.

Chrome version 61 fjerner 22 sårbarheder. Ingen af dem har fået Googles alvorligste risikovurdering, men seks har fået den næsthøjeste.

Blandt dem er to sårbarheder i PDFium og to i V8.

Fejlene er rettet i Chrome 61 til Windows, Macintosh og Linux.

Anbefaling

Genstart Chrome for at aktivere opdateringen.

En af udvidelserne er CopyFish, som DKCERT tidligere har omtalt. Gennem et phishing-angreb fik en angriber fat i login-data for udviklerkontoen og overtog kontrollen med udvidelsen. Derefter blev der udsendt en version, som viste uønskede reklamer hos brugerne.

Sikkerhedsfirmaet Proofpoint har opdaget flere andre udvidelser, som hackere på samme måde har overtaget:

Ingen af sårbarhederne har fået Googles højeste risikovurdering, men ni har fået den næsthøjeste.

En af sårbarhederne affødte en dusør på 10.000 dollars til sikkerhedsforskeren, der fandt den. Sårbarheden ligger i IndexedDB.

Andre sårbarheder er spredt ud på forskellige funktioner i Chrome, herunder PPAPI, Blink, PDFium og Skia.

Anbefaling

Genstart Chrome for at aktivere opdateringen til version 60.

Google har opdateret browseren Chrome til version 59. Ingen af de 30 sårbarheder, som den fjerner har fået firmaets højeste risikovurdering.

Fem af sikkerhedshullerne har fået den næsthøjeste risikovurdering.

En fejl i V8 affødte en dusør på 7.500 dollars til den sikkerhedsforsker, der opdagede den.

Fejlene er rettet i Chrome 59.0.3071.86 til Windows, Mac og Linux.

Anbefaling

Genstart Chrome for at aktivere opdateringen.

Sårbarheden ligger i Chromes behandling af filer af typen SCF (Shell Command File). Hvis angriberen kan narre offeret til at klikke på et link til en SCF-fil, gemmes den i mappen Downloads.

Når brugeren åbner mappen, forsøger Windows at hente et ikon til filen. I filen står der angivet en netværksadresse på ikonet. Windows forbinder sig til adressen og oplyser brugernavn og hashværdi af passwordet.

Sikkerhedshullet har fået Googles næsthøjeste risikovurdering. Det består af en race condition i WebRTC.

Sårbarheden affødte en dusør på 500 dollars til den sikkerhedsforsker, der opdagede den.

Fejlen er rettet i Chrome 58.0.3029.96 til Windows, Macintosh og Linux.

Anbefaling

Genstart Chrome for at aktivere opdateringen.

Links

• Stable Channel Update for Desktop

Ingen af sårbarhederne har fået firmaets højeste risikovurdering. Mindst tre har fået den næsthøjeste.

En af dem affødte en dusør på 3.000 dollars til sikkerhedsforskeren, der opdagede den. Sårbarheden ligger i PDFium.

Derudover er der et par sårbarheder i Omnibox og Blink.

Fejlene er rettet i Chrome 58.0.3029.81 til Windows, Macintosh og Linux.

Anbefaling

Genstart Chrome for at aktivere opdateringen.