[TLP:CLEAR] Google Chrome opravuje 37 zraniteľností

Google opravuje 37 zraniteľností (z toho 19 zverejnených) v produkte Google Chrome a taktiež vo webových prehliadačoch založených na Chromium. Google zraniteľnosti opravil pre Chrome na Linux vo verzii 128.0.6613.84 a pre Chrome na Windows/Mac vo verzii 128.0.6613.84/.85 [3]. Zraniteľnosť CVE-2024-7971 opravil Microsoft pre produkt Edge vo verzii 128.0.2739.42 [11]. Nižšie sú uvedené najzávažnejšie zraniteľnosti.

Google Chrome - type confusion (CVE-2024-7971, CVE-2024-7969) CVSS 8.8 (High)

Neautentizovanému vzdialenému útočníkovi je umožnené neoprávnene pristupovať do pamäte u obete zobrazujúcej špeciálne vytvorené web stránky, čím môže dôjsť k poškodeniu dát, neoprávnenému čítaniu informácií a potenciálne k spúšťaniu kódu [1][2]. Google tvrdí, že existuje verejne dostupný skript umožňujúci zneužitie zraniteľnosti CVE-2024-7971 [3].

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 21. 9. 2024.

Google Chrome - use after free (CVE-2024-7964, CVE-2024-7968) CVSS 8.8 (High)

Neautentizovanému vzdialenému útočníkovi je umožnené u obete zobrazujúcej špeciálne vytvorené web stránky vykonať DoS útok, poškodiť dáta v pamäti alebo potenciálne vykonávať kód [4][5].

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 21. 8. 2024.

Google Chrome - out-of-bound write (CVE-2024-7965) CVSS 8.8 (High)

Neautentizovanému vzdialenému útočníkovi je umožnené neoprávnene zapisovať do pamäte u obete zobrazujúcej špeciálne vytvorené web stránky, čím môže dôjsť k DoS útoku alebo poškodeniu dát v pamäti [6]. Google tvrdí, že existuje verejne dostupný skript umožňujúci zneužitie tejto zraniteľnosti [3].

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 21. 9. 2024.

Google Chrome - out-of-bound write (CVE-2024-7973) CVSS 8.8 (High)

Neautentizovanému vzdialenému útočníkovi je umožnené neoprávnene zapisovať do pamäte u obete zobrazujúcej špeciálne vytvorené PDF súbory, čím môže dôjsť k DoS útoku alebo poškodeniu dát v pamäti [7].

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 21. 8. 2024.

Google Chrome - privilege escalation (CVE-2024-7977, CVE-2024-7979, CVE-2024-7980) CVSS 7.8 (High)

Autentizovanému vzdialenému útočníkovi je v inštalátore Google Chrome na systéme Windows umožnené zvýšiť svoje práva použitím špeciálne vytvoreného súboru alebo symbolického odkazu [8][9][10].

CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 21. 8. 2024.


Publikoval Martin Krajči dňa 3. 9. 2024.

CESNET CERTS Logo