Google har i denne uge udgivet Chrome version 120, der adresserer ni sårbarheder.
Som sædvanlig med Google har den mest alvorlige fejl, som er indrapporteret af eksterne researchere, udløst en dusør. I denne omgang er den på 16.000 dollar for fundet af CVE-2023-6702, en type confusion-fejl i V8 JavaScript-motoren, med karakteren 'høj'. I alt har de indrapporterede fejl kostet Google 50.000 dollar i dusørudbetaling til rettelse af 'use-after-free'-sårbarheder i browserens Blink-, libavif-, WebRTC- og FedCM-komponenter og i CSS.
ChromeOS er et Linux-baseret operativsystem, som er udviklet og designet af Google.
Afhængigt af de privilegier, der er knyttet til brugeren, kan en angriber installere programmer, se, ændre og slette data eller oprette nye konti med administrative rettigheder.
De berørte systemer er ChromeOS versioner før 15393.48.0 (Platform version: 113.0.5672.114).
Det anbefales at følge Googles anvisninger til opdatering af ChromeOS, læs mere her.
Google har udsendt marts måneds sikkerhedsopdateringer til Android. Opdateringerne retter en række sårbarheder, hvoriblandt der er to kritiske sårbarheder, der påvirker Android Systems version 11, 12 og 13.
Det skriver Bleeping Computer og Security Week.
De to kritiske fejl kan føre fjernafvikling af kode med sig ved udnyttelse. De findes i systemkomponenten og kræver ikke brugerinteraktion for at kunne udnyttes.
Googles december-opdatering til Android retter 81 sårbarheder, inklusive en remote code execution-fejl. Det skriver Bleeping Computer på baggrund af en sikkerhedsbulletin fra Google.
Det fremgår her, at opdateringen adresserer 45 sårbarheder i kerne Android-komponenter og yderligere 36 sårbarheder, der påvirker tredjepartskomponenter. Den mest alvorlige er en kritisk sårbarhed i systemkomponenten, der kan føre til fjernafvikling af kode via Bluetooth uden brugerinteraktion. De fire kritiske sårbarheder påvirker Android-versioner 10 til 13.
Google har udsendt sikkerhedsopdatering for at rette en ny 0-dages sårbarhed i Chrome-webbrowseren.
Det skriver Bleeping Computer og Security Affairs.
Sårbarheden har id’et CVE-2022-4262 og skyldes en 'type confusion' i Chrome V8 JavaScript-motoren. CVSS-score er endnu ikke tilgængelig.
Ifølge Mitre kan den slags sårbarheder generelt føre til nedbrud af browseren ved at læse eller skrive hukommelse uden for buffergrænserne. Den kan dog også udnyttes til vilkårlig kodeudførelse.
Google har udsendt sikkerhedsopdatering for at rette en ny 0-dages sårbarhed i Chrome-webbrowseren.
Det skriver Security Affairs og en række andre medier.
Sårbarheden har id’et CVE-2022-4135 og er et problem med heap-bufferoverflow. Det er en sårbarhed, som en angriber kan udnytte til afvikling af vilkårlig kode på sårbare systemer.
Google har udsendt rettelser til i alt 10 sikkerhedssårbarheder i Chrome, hvoraf nogle ved udnyttelse kan gøre det muligt for fjernangribere at få en pc til at crashe. Det skriver Zdnet.
Der er tale om opdateringer til Chrome-browser på Windows, Mac og Linux. Som vanligt tilbageholder Chrome detaljer om sårbarhederne, indtil de fleste brugere har implementeret opdateringerne. Google angiver dog, at sårbarhedernes grad af alvorlighed er ’high’. I praksis betyder det på Googlesprog, at opdateringerne bør anvendes så hurtigt som muligt.
Google oplyste tirsdag, at der er udsendt en ny Chrome-opdatering til version 106, der retter seks alvorlige sårbarheder, herunder fire use-after-free fejl.
Google har onsdag bekendtgjort udgivelsen af en opdatering til Chrome 105.
Det skriver Security Week.
Opdateringen retter 11 sårbarheder, hvoraf syv betegnes som alvorlige, der er fundet af eksterne researchere. I alt har tre af fejlene udløst 18.000 dollar i dusør. Dusør for fundet af de øvrige fejl er ikke oplyst.
De væsentligste fejl er en out-of-bounds-write i Chromes Storage-komponent. Dernæst er der tre use-after-free-fejl i PDF-komponenten, suppleret med en fjerde use-after-free i Frames. Begge problemer kan kompromittere integritet og tilgængelighed.
Google har udsendt en ny version af Chrome, nr. 105, som indeholder rettelser til 24 sårbarheder, inkl. 13 use-after-free- og heap buffer overflow-fejl. Det skriver Security Week.
21 af de fejlene er blevet indrapporteret af eksterne researchere, hvilket har medført dusører på op til 10.000 dollar pr. sårbarhed. I alt blev der uddelt mere end 60.000 dollar i ’bug bounty’-dusører.
