[TLP:CLEAR] Google Chrome opravuje 4 zraniteľnosti
Google opravuje 4 zraniteľnosti v produkte Google Chrome (pôvodne v nástrojoch V8 a Dawn) [1], ktoré sa taktiež týkajú webových prehliadačov založených na Chromium, ako napríklad Opera alebo Microsoft Edge, z ktorých zatiaľ zraniteľnosti opravil iba Microsoft [2][3][4][5]. Chrome zraniteľnosti opravil pre Windows a Mac verziami 126.0.6478.114/115 a pre Linux verziou 126.0.6478.114 [1].
Neautentizovanému vzdialenému útočníkovi je umožnené pristupovať k pamäti po jej uvoľnení donútením obete k prehliadaniu špeciálne vytvorenej stránky, čo môže spôsobiť neoprávnený prístup k dátam, DoS útok alebo vzdialené spúšťanie kódu [6].
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-6103 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-416: Use After Free at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 19. 6. 2024.
Neautentizovanému vzdialenému útočníkovi je umožnené neoprávnene meniť údaje v hromade donútením obete k prehliadaniu špeciálne vytvorenej stránky, čo môže spôsobiť neoprávnené odstraňovanie dát, DoS útok alebo vzdialené spúšťanie kódu [7].
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-6102 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-787: Out-of-bounds Write at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 19. 6. 2024.
Neautentizovanému vzdialenému útočníkovi je umožnené pristupovať za hranicu pamäte donútením obete k prehliadaniu špeciálne vytvorenej stránky, čo môže spôsobiť neoprávnený prístup k informáciám, DoS útok alebo vzdialené spúšťanie kódu [8].
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-6101 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-788: Access of Memory Location After End of Buffer at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 19. 6. 2024.
Neautentizovanému vzdialenému útočníkovi je umožnené vykonávať ľubovolný kód donútením obete k prehliadaniu špeciálne vytvorenej stránky [9].
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-6100 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-843: Access of Resource Using Incompatible Type ('Type Confusion') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 19. 6. 2024.
Odkazy
- [1] https://chromereleases.googleblog.com/2024/06/stable-channel-update-for-desktop_18.html
- [2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-6100
- [3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-6101
- [4] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-6102
- [5] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-6103
- [6] https://nvd.nist.gov/vuln/detail/CVE-2024-6103
- [7] https://nvd.nist.gov/vuln/detail/CVE-2024-6102
- [8] https://nvd.nist.gov/vuln/detail/CVE-2024-6101
- [9] https://nvd.nist.gov/vuln/detail/CVE-2024-6100
Publikoval Martin Krajči dňa 26. 6. 2024.
