[TLP:CLEAR] Google Chrome opravuje 37 zraniteľností
Google opravuje 37 zraniteľností (z toho 19 zverejnených) v produkte Google Chrome a taktiež vo webových prehliadačoch založených na Chromium. Google zraniteľnosti opravil pre Chrome na Linux vo verzii 128.0.6613.84 a pre Chrome na Windows/Mac vo verzii 128.0.6613.84/.85 [3]. Zraniteľnosť CVE-2024-7971 opravil Microsoft pre produkt Edge vo verzii 128.0.2739.42 [11]. Nižšie sú uvedené najzávažnejšie zraniteľnosti.
Neautentizovanému vzdialenému útočníkovi je umožnené neoprávnene pristupovať do pamäte u obete zobrazujúcej špeciálne vytvorené web stránky, čím môže dôjsť k poškodeniu dát, neoprávnenému čítaniu informácií a potenciálne k spúšťaniu kódu [1][2]. Google tvrdí, že existuje verejne dostupný skript umožňujúci zneužitie zraniteľnosti CVE-2024-7971 [3].
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-7971 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-7969 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-843: Access of Resource Using Incompatible Type ('Type Confusion') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 21. 9. 2024.
Neautentizovanému vzdialenému útočníkovi je umožnené u obete zobrazujúcej špeciálne vytvorené web stránky vykonať DoS útok, poškodiť dáta v pamäti alebo potenciálne vykonávať kód [4][5].
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-7964 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-7968 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-416: Use After Free at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 21. 8. 2024.
Neautentizovanému vzdialenému útočníkovi je umožnené neoprávnene zapisovať do pamäte u obete zobrazujúcej špeciálne vytvorené web stránky, čím môže dôjsť k DoS útoku alebo poškodeniu dát v pamäti [6]. Google tvrdí, že existuje verejne dostupný skript umožňujúci zneužitie tejto zraniteľnosti [3].
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-7965 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-787: Out-of-bounds Write at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 21. 9. 2024.
Neautentizovanému vzdialenému útočníkovi je umožnené neoprávnene zapisovať do pamäte u obete zobrazujúcej špeciálne vytvorené PDF súbory, čím môže dôjsť k DoS útoku alebo poškodeniu dát v pamäti [7].
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-7973 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-787: Out-of-bounds Write at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 21. 8. 2024.
Autentizovanému vzdialenému útočníkovi je v inštalátore Google Chrome na systéme Windows umožnené zvýšiť svoje práva použitím špeciálne vytvoreného súboru alebo symbolického odkazu [8][9][10].
CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-7977 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-7979 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-7980 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-345: Insufficient Verification of Data Authenticity at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 21. 8. 2024.
Odkazy
- [1] https://nvd.nist.gov/vuln/detail/CVE-2024-7971
- [2] https://nvd.nist.gov/vuln/detail/CVE-2024-7969
- [3] https://chromereleases.googleblog.com/2024/08/stable-channel-update-for-desktop_21.html
- [4] https://nvd.nist.gov/vuln/detail/CVE-2024-7964
- [5] https://nvd.nist.gov/vuln/detail/CVE-2024-7968
- [6] https://nvd.nist.gov/vuln/detail/CVE-2024-7965
- [7] https://nvd.nist.gov/vuln/detail/CVE-2024-7973
- [8] https://nvd.nist.gov/vuln/detail/CVE-2024-7977
- [9] https://nvd.nist.gov/vuln/detail/CVE-2024-7979
- [10] https://nvd.nist.gov/vuln/detail/CVE-2024-7980
- [11] https://learn.microsoft.com/en-us/deployedge/microsoft-edge-relnotes-security#august-22-2024