Google, Apple squash sömürülebilir tarayıcı hataları • Kayıt


Google, masaüstü Chrome için, vahşi doğada istismarı olan bir hata da dahil olmak üzere 11 güvenlik düzeltmesi yayınladı.

CVE-2022-2856 olarak izlenen bu yüksek önemdeki güvenlik açığı, uygunsuz bir giriş doğrulama hatasıdır ve her zamanki gibi Google, Chrome kullanıcılarının büyük kısmı güncellenene ve kod düzeltilene kadar bu konuda pek fazla ayrıntı yayınlamaz.

İnternet devi bir tavsiyede, kusuru “Intents’te güvenilmeyen girdilerin yetersiz doğrulaması” olarak nitelendirdi ve kayıt edilmiş “Vahşi doğada CVE-2022-2856 için bir açıktan yararlanmanın var olduğunun farkındadır.”

Chrome Amaçları olabilir Kullanılmış Web sayfalarından uygulamaları başlatmak ve bu uygulamalara veri iletmek için.

Sophos güvenlik araştırmacıları, Google’ın bu işlevin bir kullanıcının cihazını tehlikeye atmak için nasıl manipüle edilebileceği hakkında herhangi bir ayrıntı sağlamadığını belirtiyor. Sophos’tan Paul Ducklin, “Bilinen istismar, yerel bir uygulamayı normalde güvenlik gerekçesiyle engellenecek türden riskli verilerle sessizce beslemeyi içeriyorsa, tehlike oldukça açık görünüyor.” katma.

Tehdit Analizi Grubu’nun bir parçası olan Google çalışanları Ashley Shen ve Christian Resell, 19 Temmuz’da güvenlik açığını bildirdi.

bu beşinci Chrome hatası Google, bu yıl ya istismar edilen ya da vahşi doğada istismar kodu bulunan sorunu düzeltti.

Google, bugünün listesinde kalan hatalar için herhangi bir istismarın farkında olmasa da, biri kritik önem derecesi aldı ve diğer beşini yüksek önem derecesi olarak kabul etti.

Bu Chrome güvenlik açıklarının riskini büyük ve orta ölçekli devlet kurumları ve işletmeler için “yüksek” ve küçük hükümetler ve şirketler için “orta” olarak derecelendiren İnternet Güvenliği Merkezi, hataların en şiddetlisinin bir saldırganın yürütmesine izin vereceği konusunda uyardı. kötü amaçlı kod “oturum açmış kullanıcı bağlamında.”

CIS, “Kullanıcıyla ilişkili ayrıcalıklara bağlı olarak, bir saldırgan daha sonra programları yükleyebilir, verileri görüntüleyebilir, değiştirebilir veya silebilir veya tam kullanıcı haklarına sahip yeni hesaplar oluşturabilir” dedi. güvenlik danışmanlığı. “Hesapları sistemde daha az kullanıcı haklarına sahip olacak şekilde yapılandırılmış kullanıcılar, yönetici kullanıcı haklarıyla çalışanlardan daha az etkilenebilir.”

Aktif istismar altındaki hataya ek olarak Google, güncellemesindeki 11 hatadan dokuzunu ayrıntılı olarak açıkladı (Mac ve Linux için 104.0.5112.101 ve Windows için 104.0.5112.102/101). Bunlar:

  • CVE-2022-2852 (kritik): FedCM’de ücretsiz kullanımdan sonra kullanın
  • CVE-2022-2854 (yüksek): SwiftShader’da ücretsiz kullanımdan sonra kullanın
  • CVE-2022-2855 (yüksek): ANGLE’da serbest kaldıktan sonra kullanın
  • CVE-2022-2857 (yüksek): Serbest kaldıktan sonra Blink’te kullanın
  • CVE-2022-2858 (yüksek): Oturum Açma Akışında ücretsiz olduktan sonra kullanın.
  • CVE-2022-2853 (yüksek): İndirmelerde yığın arabellek taşması
  • CVE-2022-2859 (orta): Chrome OS Shell’de ücretsiz kullanımdan sonra kullanın
  • CVE-2022-2860 (orta): Çerezlerde yetersiz politika uygulaması
  • CVE-2022-2861 (orta): Extensions API’de uygunsuz uygulama

bu Chrome Güvenlik Açığı Ödül Programı Bu kusurları keşfeden ve bildiren böcek avcılarına en az 29.000 dolar ödedi.

Buna, Amber Security Lab’den Cassidy Kim’e CVE-2022-2854 ve CVE-2022-2855 için ödenen iki 7,000 dolarlık ödül; CVE-2022-2857 için anonim bir kişiye 5.000 $ ödül; CVE-2022-2858 için KunLun laboratuvarında kuzguna 5.000 dolar daha; CVE-2022-2859 için 360 Alpha Lab’den Nan Wang ve Guang Gong’a 3.000 $; ve CVE-2022-2860 için Axel Chong’a 2.000$.

Toplamda, Google ödedi 8,7 milyon dolar geçen yıl çeşitli VPR’lerinde yaklaşık 700 araştırmacıya ödül olarak. ®

Yamalardan bahsetmişken… Apple’ın macOS yayınladığını gördük 12.5.1iOS 15.6.1ve iPadOS 15.6.1 güncellemeleri, bir uygulama tarafından Mac’in veya aygıtın tam kontrolünü ele geçirmek için kötüye kullanılabilecek çekirdekteki bir kusuru (CVE-2022-32894) ve WebKit’teki bir kusuru (CVE-2022-32893) ele alır. rasgele kod yürütmek için kullanılabilir.

Böylece biri, iki kusurun istismarını birleştirebilir, böylece bir kurban Safari gibi bir WebKit tarayıcısında bubi tuzağına sahip bir web sayfası açtığında, sayfa, bilgisayarı veya iThing’i ele geçirmek için ayrıcalık yükseltme kusurundan yararlanmak için rasgele kod yürütmeye başlayabilir, ve casus yazılımları ve diğer pislikleri yükleyin.

Ve gerçekten de Apple, “bu sorunun aktif olarak istismar edilmiş olabileceğine dair bir raporun farkında olduğunu” söyledi, bu yüzden ASAP’ı yamalayın!



Kaynak : https://go.theregister.com/feed/www.theregister.com/2022/08/17/google_chrome_bug/

Yorum yapın