Google julkaisi korjaavia päivityksiä Chrome-selainten kriittisiin haavoittuvuuksiin | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Google julkaisi korjaavia päivityksiä Chrome-selainten kriittisiin haavoittuvuuksiin

4. marraskuuta 2020 klo 15.01, päivitetty 6. marraskuuta 2020 klo 14.23

Uusia ja kriittisiä haavoittuvuuksia Google Chrome -selaimessa. Päivitykset tulee asentaa välittömästi, sillä hyväksikäyttöä on havaittu maailmalla.

Google korjasi kuluvalla viikolla Chromesta ja Chromen Android -versiosta seuraavat kriittiset haavoittuvuudet, joita on jo hyväksikäytetty maailmalla.

Chrome ja Chrome for Android: CVE-2020-16009 (CVSS-arvo: 7.8) on v8 ohjelmointivirhe, joka mahdollistaa etänä suoritettavat komennot.

Chrome for Android: CVE-2020-16010 ei ole vielä saanut CVSS-arvoa (arvo päivitetään, kun se tulee julkiseksi, tilanne tarkastettu 4.11.). Tämä haavoittuvuus mahdollistaa Androidissa hiekkalaatikkosuojauksen (sandbox) ohittamisen.

Haavoittuvuudet koskevat myös Chromium-pohjaista Microsoft Edge -selainta. Microsoft on julkaissut 4.11. uuden version 86.0.622.63, joka paikkaa nämä haavoittuvuudet.

 

Haavoittuvuuden kohde

Kaikki 86.0.4240.183:sta aiemmat Chromen versiot.
Kaikki 86.0.622.63:sta aiemmat Chromiumiin perustuvat Microsoft Edgen versiot.

Mistä on kysymys?

Päivitä Chrome versioon 86.0.4240.183.

Päivitä Androidin Chrome versioon 86.0.4240.185, kun se tulee saataville Google Playhin.

Päivitä Chromiumiin perustuva Microsoft Edge versioon 86.0.622.63.

Google: Stable Channel Update for Desktop (ulkoinen linkki)
Chrome for Android Update
Bleeping Computer: Google patches one more actively exploited Chrome zero-day (ulkoinen linkki)
Microsoft: Microsoftin tiedot Chromiumiin pohjautuvan Edge-selaimen päivityksiin (ulkoinen linkki)

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

6. marraskuuta 2020 klo 14.23 6.11 Lisätty Chromiumiin perustuvan Microsoft Edgen tiedot haavoittuvien listalle