Gli utenti dovrebbero correggere diverse nuove vulnerabilità del browser che interessano Chrome, Firefox, ed Edge.
Le vulnerabilità sono classificate come critiche e potrebbero consentire agli aggressori di dirottare i sistemi sensibili.
Va notato che il difetto di Firefox identificato come CVE-2020-16044 è separato dalla vulnerabilità scoperta in Chromium. Chromium è il motore del browser sia per Google Chrome che per Microsoft Edge.
Vulnerabilità di Firefox CVE-2020-16044
Secondo consulenza di Mozilla, "Un peer dannoso avrebbe potuto modificare un blocco COOKIE-ECHO in un pacchetto SCTP in un modo che potenzialmente si traduceva in un utilizzo dopo. Presumiamo che con sufficiente impegno avrebbe potuto essere sfruttato per eseguire codice arbitrario ".
In altre parole, la vulnerabilità è un problema senza utilizzo, derivante dal modo in cui il browser Firefox gestisce i cookie del browser. upon sfruttamento, il bug potrebbe consentire agli aggressori di accedere al dispositivo dell'utente (computer, tavoletta, o telefono). La vulnerabilità è stata corretta nella versione desktop di Firefox 84.0.2, Firefox Android 84.1.3, e l'ESR aziendale 78.6.1 versione.
L'azienda non ha specificato chi ha scoperto la vulnerabilità né se è attivamente sfruttata in natura. Ciò nonostante, gli utenti dovrebbero assicurarsi che i loro browser eseguano una versione con patch per evitare problemi.
Vulnerabilità di Chrome e Edge CVE-2020-15995
Questo bug di Chromium è descritto come una "scrittura fuori dai limiti in V8 in Google Chrome prima di 86.0.4240.99". Il bug potrebbe consentire a un utente malintenzionato remoto di sfruttare potenzialmente il danneggiamento dell'heap tramite una pagina HTML predisposta.
Windows, Mac OS, e gli utenti Linux di Chrome dovrebbero correggere la vulnerabilità che risiede nel file 87.0.4280.141 versione del browser. I ricercatori tenable hanno valutato il difetto come critico. Tuttavia, Google e Microsoft hanno affermato che il bug è di elevata gravità.
CVE-2020-15995 è stato scoperto e segnalato dal ricercatore di Tencent Security Xuanwu Lab Bohan Liu.
È interessante notare che CVE-2020-15995 è associato a un bollettino sulla sicurezza di aggiornamento di Chrome per Android pubblicato da Google nell'ottobre dello scorso anno quando è stato valutato come un problema di gravità elevata.
Inizialmente, la vulnerabilità è stata rivelata a settembre 2020 dallo stesso ricercatore Tencent.
Questa non è l'unica vulnerabilità che mette in pericolo il motore Chromium in Chrome ed Edge. Divulgato da Google 12 più difetti, e Microsoft li ha anche presentati nel suo bollettino sulla sicurezza. Questo è l'elenco delle vulnerabilità:
CVE-2021-21106, CVE-2021-21107, CVE-2021-21108, CVE-2021-21109, CVE-2021-21110, CVE-2021-21111, CVE-2021-21112, CVE-2021-21113, CVE-2021-21114, CVE-2021-21115, CVE-2021-21116, CVE-2020-16043.
In dicembre 2020, Mozilla e Google hanno risolto un'altra vulnerabilità critica in agguato nei loro browser.
Secondo l'avviso di sicurezza di Mozilla, CVE-2020-16042 è un problema in BigInt, un componente JavaScript che avrebbe potuto attivare l'esposizione della memoria non inizializzata. La descrizione di Google è diversa, poiché il bug viene descritto come "utilizzo non inizializzato" che influisce sul motore JavaScript V8 di Chrome. Questi tipi di bug sono in gran parte trascurati e considerati "errori di memoria insignificanti".
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: