V prohlížeči Google Chrome je bezpečnostní chyba. I v Edgi a Firefoxu

4. 10. 2023

Sdílet

 Autor: Depositphotos
4. 10. 2023

Závažná bezpečnostní chyba v prohlížeči Google Chrome a dalších založených na jádru Chromium je novým přírůstkem v katalogu známých zneužívaných zranitelností Agentury pro kybernetickou bezpečnost a infrastrukturu.

Využíváte už ve firmě autonomní agenty postavené na bázi umělé inteligence?

Podle americké Agentury pro kybernetickou bezpečnost a infrastrukturu (CISA) představuje vážnou bezpečnostní hrozbu zranitelnost v open source video kodeku, který používá řada hlavních prohlížečů.

Chyba se týká webových prohlížečů, které používají mediální knihovnu libvpx, společný projekt společností Google a Alliance for Open Media. Na stupnici CVSS v3 získala běžné hodnocení zranitelnosti 8,8, což znamená, že ji odborníci charakterizují jako hrozbu „vysoké“ závažnosti. V oznámení CISA se uvádí, že existují důkazy o aktivním zneužívání této chyby, takže jde o hrozbu nultého dne.

Podle CISA zranitelnost umožňuje typ útoku typu buffer overflow. To znamená, že v určité fázi není správně nastavena velikost vyrovnávací paměti používané pro zpracování vstupů, což umožňuje útočníkovi vytvořit škodlivý vstup mnohem větší, než je vyrovnávací paměť, který nebude správně zpracován a může vést k řadě neblahých následků. Přetečení vyrovnávací paměti je vzhledem k široké použitelnosti této techniky častým cílem záškodnických hackerů.

bitcoin_skoleni

V tomto případě a v souladu s vysokým skóre závažnosti exploitu může chyba umožnit vzdálené spuštění kódu, což útočníkům umožní doručit do zranitelných systémů nebezpečný kód.

Záplaty vydaly společnosti stojící za většinou hlavních prohlížečů, které používají Chromium, včetně prohlížečů Google Chrome a Microsoft Edge. Kodek libvpx je přítomen také ve Firefoxu, který byl rovněž opraven. Jeho závažnost znamená, že organizace musí záplatovat obratem a důkladně, aby se vyhnuly potenciálně vážným následkům.

 

Security World si můžete koupit i jako klasický časopis, buď v klasické tištěné formě nebo v elektronické verzi. Věnujeme se bezpečnosti počítačových systémů, ochraně dat, informací a soukromí.  Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.