0-dagssårbarhed i Chrome

Af Eskil Sørensen, 19/08/22

Udnyttes pt. ’in-the-wild’.

Google har udsendt 11 sikkerhedsrettelser til Chrome i denne uge, hvoraf en af dem håndterer en 0-dagssårbarhed, der pt. er under udnyttelse.

Det skriver Dark Reading.

Fejlen har id’et CVE-2022-2856 og karakteriseres som værende alvorlig – hvilket betyder en score på mellem syv og ni på CVSS-skalaen.

Fejlen vedrører ’insufficient validation of untrusted input in Intents’, hvilket betyder at browseren ikke validerer inputtet korrekt. Dette er et problem hvis en angriber er i stand til at lave et specielt input (f.eks. et indlæg i kommentarfeltet på et websted), der ikke forventes af applikationen. Ifølge MITRE kan det betyde, at dele af systemet ikke kan vurdere om inputtet er ondartet og det kan resultere i ændret kontrolflow, vilkårlig kontrol af en ressource eller vilkårlig afvikling af kode.

Opdateringen bliver ifølge Google skubbet ud i etaper med automatiske opdateringer aktiveret til Windows, Mac og Linux. Som altid vil man dog selv kunne opdatere manuelt via Indstillinger > Hjælp> Om Google Chrome. Herefter søger browseren selv efter opdateringen og installerer den.

Dark Reading skriver, at 0-dagssårbarheden er den femte aktivt sårbarhed, der er blevet afdækket i Chrome i 2022. De foregående fire var: CVE-2022-0609 (februar), CVE-2022-1096 (marts), CVE-2022-1364 (april) og CVE -2022-2294 (juli).