Gebruikers moeten verschillende nieuwe kwetsbaarheden in de browser patchen die van invloed zijn op Chrome, Firefox, en Edge.
De kwetsbaarheden worden als kritiek beoordeeld en kunnen aanvallers in staat stellen om gevoelige systemen te kapen.
Opgemerkt moet worden dat de Firefox-fout geïdentificeerd als CVE-2020-16044 los staat van de kwetsbaarheid die is ontdekt in Chromium. Chromium is de browser-engine voor zowel Google Chrome als Microsoft Edge.
Beveiligingslek in Firefox CVE-2020-16044
Volgens Mozilla's adviserende, "Een kwaadwillende peer had een COOKIE-ECHO-chunk in een SCTP-pakket kunnen wijzigen op een manier die mogelijk resulteerde in een use-after-free. We nemen aan dat het met voldoende inspanning had kunnen worden uitgebuit om willekeurige code uit te voeren. "
Met andere woorden, de kwetsbaarheid is een probleem zonder gebruik, die voortvloeien uit de manier waarop de Firefox-browser browsercookies verwerkt. Bij uitbuiting, door de bug kunnen aanvallers toegang krijgen tot het apparaat van de gebruiker (computer, tablet, of telefoon). De kwetsbaarheid is verholpen in de desktop Firefox-versie 84.0.2, Firefox Android 84.1.3, en de corporate ESR 78.6.1 versie.
Het bedrijf heeft niet gespecificeerd wie de kwetsbaarheid heeft ontdekt en ook niet of deze actief in het wild wordt uitgebuit. Niettemin, gebruikers moeten ervoor zorgen dat hun browser een gepatchte versie gebruikt om problemen te voorkomen.
Beveiligingslek in Chrome en Edge CVE-2020-15995
Deze Chromium-bug wordt beschreven als 'schrijven buiten het bereik in V8 in Google Chrome vóór 86.0.4240.99'. Door de bug kan een externe aanvaller mogelijk misbruik maken van heap-corruptie via een vervaardigde HTML-pagina.
Windows, MacOS, en Linux-gebruikers van Chrome zouden het beveiligingslek in het 87.0.4280.141 versie van de browser. Houdbare onderzoekers beoordeelden de fout als kritiek. Echter, Google en Microsoft zeiden dat de bug zeer ernstig is.
CVE-2020-15995 werd ontdekt en gerapporteerd door Tencent Security Xuanwu Lab-onderzoeker Bohan Liu.
Het is opmerkelijk dat CVE-2020-15995 wordt geassocieerd met een Chrome voor Android-updatebeveiligingsbulletin dat Google in oktober vorig jaar publiceerde toen het werd beoordeeld als een zeer ernstig probleem.
Aanvankelijk, de kwetsbaarheid werd in september bekendgemaakt 2020 door dezelfde Tencent-onderzoeker.
Dit is niet de enige kwetsbaarheid die de Chromium-engine in Chrome en Edge in gevaar brengt. Google bekendgemaakt 12 meer gebreken, en Microsoft vermeldde ze ook in zijn beveiligingsbulletin. Dit is de lijst met kwetsbaarheden:
CVE-2021-21106, CVE-2021-21107, CVE-2021-21108, CVE-2021-21109, CVE-2021-21110, CVE-2021-21111, CVE-2021-21112, CVE-2021-21113, CVE-2021-21114, CVE-2021-21115, CVE-2021-21116, CVE-2020-16043.
In december 2020, Mozilla en Google hebben een andere kritieke kwetsbaarheid aangepakt op de loer in hun browsers.
Volgens het beveiligingsadvies van Mozilla, CVE-2020-16042 is een probleem in BigInt, een JavaScript-component die ertoe kan hebben geleid dat niet-geïnitialiseerd geheugen wordt weergegeven. De beschrijving van Google verschilt, aangezien de bug wordt beschreven als 'niet-geïnitialiseerd gebruik' dat de V8 JavaScript-engine van Chrome beïnvloedt. Dit soort bugs wordt grotendeels genegeerd en beschouwd als 'onbeduidende geheugenfouten'.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: