Vakava haavoittuvuus Firefoxissa, Chromessa ja Edgessä - mahdollistaa koneen kaappauksen
Kolmessa suositussa selaimessa on ilmoitettu vakavista turvallisuusaukoista tällä viikolla. Niistä on löytynyt kaksi erillistä bugia, joista toinen koskee Firefoxia ja toinen Chromea sekä Edgeä.
Firefoxin tapauksessa on koodissa oleva turvallisuusaukko, joka liittyy evästeiden käsittelyyn. Aukko kulkee nimellä use-after-free, josta Firefoxia kehittävä Mozilla ilmoitti loppiaisena. Kyseisen Firefoxin aukon avulla kaappaaja voi saada täyden hallinnan tietokoneeseen, puhelimeen tai tablettiin, jossa Firefoxia käytetään.
Aukko on paikattu Firefoxin uudessa versiossa, joka on jakelussa sekä Androidille että kaikille tietokonealustoille jo nyt. Aukko löytyy vielä Firefoxin Android-versiosta 84.1.3 sekä tietokoneiden Firefoxin versiota 84.0.2.
Toinen vastaavalla tavalla vaarallinen aukko on löytynyt Chromium-selaimesta, johon molemmat, sekä Microsoftin Edge että Googlen Chrome pohjautuvat. Sekä Google että Microsoft ovat julkaisseet päivityksen selaimiinsa ja molemmat listaavat bugin "erittäin kriittiseksi".
Chromiumin aukko sekin mahdollistaa laitteen hallinnan kaappauksen. Androidin Chromessa ongelma on korjattu jo aiemmin, mutta sekä Linux, macOS että Windows-versiot Chromesta sisälsivät aukon vielä viime viikon versioissa. Google kehottaa käyttäjiä päivittämään selaimensa välittömästi.
Microsoft on julkaissut Edgeen päivityksen sekä Androidille että Windowsille ja kehottaa sekin päivittämään käyttäjiä Edgen välittömästi uuteen versioon. Kyseinen aukko kulkee koodinimellä CVE-2020-15995.
Mainituilta turvallisuusaukoilta ei voi suojautua virustorjunnan tai palomuurin avulla.
1 KOMMENTTI
DeNiWar1/1
"Aukko löytyy vielä Firefoxin Android-versiosta 84.1.3 sekä tietokoneiden Firefoxin versiota 84.0.2"
Miten se aukko vielä löytyy kyseisistä versioista koska ainakin mozillan viimeisimmässä koneelle tulleen 84.0.2 version päivitystiedoissa kerrotaan näin:
"
Mozilla Foundation Security Advisory 2021-01
Security Vulnerabilities fixed in Firefox 84.0.2, Firefox for Android 84.1.3, and Firefox ESR 78.6.1
Announced
January 6, 2021
Impact
critical
Products
Firefox, Firefox ESR, Firefox for Android
Fixed in
Firefox 84.0.2
Firefox ESR 78.6.1
Firefox for Android 84.1.3
# CVE-2020-16044: Use-after-free write when handling a malicious COOKIE-ECHO SCTP chunk
Reporter
Ned Williamson
Impact
critical
Description
A malicious peer could have modified a COOKIE-ECHO chunk in a SCTP packet in a way that potentially resulted in a use-after-free. We presume that with enough effort it could have been exploited to run arbitrary code.
"
Eli mozillan mukaan tuo kyseinen aukko on paikattu näissä Firefox 84.0.2, Firefox ESR 78.6.1 ja Firefox for Android 84.1.3 versioissa.
Joten ilmoittakaa nyt äkkiä että aukko on vielä teidän testeissänne löytynyt myös näistä uusimmista päivityksistä!!
TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT