Vakava haavoittuvuus Firefoxissa, Chromessa ja Edgessä - mahdollistaa koneen kaappauksen

Vakava haavoittuvuus Firefoxissa, Chromessa ja Edgessä - mahdollistaa koneen kaappauksen
Kolmessa suositussa selaimessa on ilmoitettu vakavista turvallisuusaukoista tällä viikolla. Niistä on löytynyt kaksi erillistä bugia, joista toinen koskee Firefoxia ja toinen Chromea sekä Edgeä.

Firefoxin tapauksessa on koodissa oleva turvallisuusaukko, joka liittyy evästeiden käsittelyyn. Aukko kulkee nimellä use-after-free, josta Firefoxia kehittävä Mozilla ilmoitti loppiaisena. Kyseisen Firefoxin aukon avulla kaappaaja voi saada täyden hallinnan tietokoneeseen, puhelimeen tai tablettiin, jossa Firefoxia käytetään.




Aukko on paikattu Firefoxin uudessa versiossa, joka on jakelussa sekä Androidille että kaikille tietokonealustoille jo nyt. Aukko löytyy vielä Firefoxin Android-versiosta 84.1.3 sekä tietokoneiden Firefoxin versiota 84.0.2.

Toinen vastaavalla tavalla vaarallinen aukko on löytynyt Chromium-selaimesta, johon molemmat, sekä Microsoftin Edge että Googlen Chrome pohjautuvat. Sekä Google että Microsoft ovat julkaisseet päivityksen selaimiinsa ja molemmat listaavat bugin "erittäin kriittiseksi".

Chromiumin aukko sekin mahdollistaa laitteen hallinnan kaappauksen. Androidin Chromessa ongelma on korjattu jo aiemmin, mutta sekä Linux, macOS että Windows-versiot Chromesta sisälsivät aukon vielä viime viikon versioissa. Google kehottaa käyttäjiä päivittämään selaimensa välittömästi.

Microsoft on julkaissut Edgeen päivityksen sekä Androidille että Windowsille ja kehottaa sekin päivittämään käyttäjiä Edgen välittömästi uuteen versioon. Kyseinen aukko kulkee koodinimellä CVE-2020-15995.

Mainituilta turvallisuusaukoilta ei voi suojautua virustorjunnan tai palomuurin avulla.

Kirjoittaja: Petteri Pyyny @ 8. tammikuuta, 2021 14:27
Tägit
Microsoft Edge Chrome Firefox tietoturva-aukko
Mainos - kommentit mainoksen jälkeen
  • 1 kommentti
  • DeNiWar

    "Aukko löytyy vielä Firefoxin Android-versiosta 84.1.3 sekä tietokoneiden Firefoxin versiota 84.0.2"

    Miten se aukko vielä löytyy kyseisistä versioista koska ainakin mozillan viimeisimmässä koneelle tulleen 84.0.2 version päivitystiedoissa kerrotaan näin:

    "
    Mozilla Foundation Security Advisory 2021-01
    Security Vulnerabilities fixed in Firefox 84.0.2, Firefox for Android 84.1.3, and Firefox ESR 78.6.1

    Announced
    January 6, 2021
    Impact
    critical
    Products
    Firefox, Firefox ESR, Firefox for Android

    Fixed in
    Firefox 84.0.2
    Firefox ESR 78.6.1
    Firefox for Android 84.1.3


    # CVE-2020-16044: Use-after-free write when handling a malicious COOKIE-ECHO SCTP chunk

    Reporter
    Ned Williamson
    Impact
    critical

    Description
    A malicious peer could have modified a COOKIE-ECHO chunk in a SCTP packet in a way that potentially resulted in a use-after-free. We presume that with enough effort it could have been exploited to run arbitrary code.
    "

    Eli mozillan mukaan tuo kyseinen aukko on paikattu näissä Firefox 84.0.2, Firefox ESR 78.6.1 ja Firefox for Android 84.1.3 versioissa.

    Joten ilmoittakaa nyt äkkiä että aukko on vielä teidän testeissänne löytynyt myös näistä uusimmista päivityksistä!!

    9.1.2021 09:17 #1

© 2021 AfterDawn Oy

Hosted by
Powered by UpCloud