Архив метки: Chrome

В новостях разгоняют про новую уязвимость в Chromium (CVE-2024–4671)

Добавить комментарий

В новостях разгоняют про новую уязвимость в Chromium (CVE-2024-4671)

В новостях разгоняют про новую уязвимость в Chromi­um (CVE-2024–4671). Насколько я понимаю, в основном из-за строчки в бюллетене безопасности, в котором Google пишут, что им известно о существовании эксплоита для этой уязвимости ("exists in the wild"). Из этого делают вывод, что раз эксплоит есть, то видимо и уязвимость в атаках используется. Имхо, лучше всё же подождать подтвержденных инцидентов или попыток эксплуатации.

Тип уязвимости "use after free". Уязвимость нашли в компоненте Visu­als, который отвечает за рендеринг и отображение контента. То, что уязвимость может приводить к RCE вендор НЕ сообщает, но CIS и Hive Pro утверждают, что это возможно. 🤷‍♂️

Обновления для Chromium/Chrome:

🔹 124.0.6367.201/.202 (Mac/Windows)
🔹 124.0.6367.201 (Lin­ux)

Также стоит ждать обновлений для всех Chromi­um-based браузеров: Microsoft Edge, Vival­di, Brave, Opera, Yan­dex Brows­er и т.д. И лучше ставить в настройках галку автообновления (если вы доверяете вендору).

Прожектор по ИБ, выпуск №14 (02.12.2023): 5000 р компенсации за утечку ПД и легализация белых шляп

Добавить комментарий

Прожектор по ИБ, выпуск №14 (02.12.2023): 5000 р компенсации за утечку ПД и легализация белых шляп

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"

00:00 Смотрим статистику по прошлому эпизоду
03:26 Максим сходил на Технологии SOC
05:45 Финансирование государственных ИБ систем
08:52 Интересная уязвимость раскрытия данных в own­Cloud (CVE-2023–49103)
11:59 Уязвимость Chrome в распространенной библиотеке Skia (CVE-2023–6345).
15:25 «Яндекс.Еда» заплатит по 5 тысяч рублей двум пострадавшим от утечки данных
19:00 Персональный заход: аферисты обновили схему для доступа к аккаунтам на «Госуслугах»
20:44 Легализации «белых» хакеров
23:22 Прощание от Mr.X

Снова эксплуатируемая вживую уязвимость Chrome и снова в распространенной библиотеке (Skia, CVE-2023–6345)

1 комментарий

Снова эксплуатируемая вживую уязвимость Chrome и снова в распространенной библиотеке (Skia, CVE-2023-6345)

Снова эксплуатируемая вживую уязвимость Chrome и снова в распространенной библиотеке (Skia, CVE-2023–6345). Skia — это библиотека 2D-графики с открытым исходным кодом, которая предоставляет общие API-интерфейсы, работающие на различных аппаратных и программных платформах. Согласно документации, служит графическим движком для Google Chrome и ChromeOS, Android, Flut­ter, Mozil­la Fire­fox и Fire­fox OS (лол, давно видимо доку не правили 😏), а также многих других продуктов.

"Целочисленное переполнение в Skia в Google Chrome до версии 119.0.6045.199 позволяло удаленному злоумышленнику, скомпрометировавшему процесс рендеринга, потенциально выполнить выход из песочницы с помощью вредоносного файла".

Похоже затронет множество продуктов, полный перечень которых мы толком и не узнаем. 🤷‍♂️ Можно поставить в один ряд с уязвимостями lib­wep и lib­vpx.