Haavoittuvuus34/2020
Uusia ja kriittisiä haavoittuvuuksia Google Chrome -selaimessa. Päivitykset tulee asentaa välittömästi, sillä hyväksikäyttöä on havaittu maailmalla.
Google korjasi kuluvalla viikolla Chromesta ja Chromen Android -versiosta seuraavat kriittiset haavoittuvuudet, joita on jo hyväksikäytetty maailmalla.
Chrome ja Chrome for Android: CVE-2020-16009 (CVSS-arvo: 7.8) on v8 ohjelmointivirhe, joka mahdollistaa etänä suoritettavat komennot.
Chrome for Android: CVE-2020-16010 ei ole vielä saanut CVSS-arvoa (arvo päivitetään, kun se tulee julkiseksi, tilanne tarkastettu 4.11.). Tämä haavoittuvuus mahdollistaa Androidissa hiekkalaatikkosuojauksen (sandbox) ohittamisen.
Haavoittuvuudet koskevat myös Chromium-pohjaista Microsoft Edge -selainta. Microsoft on julkaissut 4.11. uuden version 86.0.622.63, joka paikkaa nämä haavoittuvuudet.
Kohde
- Työasemat ja loppukäyttäjäsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman kirjautumista
Vaikutukset
- Komentojen mielivaltainen suorittaminen
- Suojauksen ohittaminen
Hyväksikäyttömenetelmä tiedossa
- Rikollisessa käytössä
- Haavoittuvuuden havainnollistava esimerkkikoodi
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvuuden kohde
Kaikki 86.0.4240.183:sta aiemmat Chromen versiot.
Kaikki 86.0.622.63:sta aiemmat Chromiumiin perustuvat Microsoft Edgen versiot.
Mistä on kysymys?
Päivitä Chrome versioon 86.0.4240.183.
Päivitä Androidin Chrome versioon 86.0.4240.185, kun se tulee saataville Google Playhin.
Päivitä Chromiumiin perustuva Microsoft Edge versioon 86.0.622.63.
6.11 Lisätty Chromiumiin perustuvan Microsoft Edgen tiedot haavoittuvien listalle