Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Google julkaisi korjaavia päivityksiä Chrome-selainten kriittisiin haavoittuvuuksiin

Haavoittuvuus34/2020

Uusia ja kriittisiä haavoittuvuuksia Google Chrome -selaimessa. Päivitykset tulee asentaa välittömästi, sillä hyväksikäyttöä on havaittu maailmalla.

Google korjasi kuluvalla viikolla Chromesta ja Chromen Android -versiosta seuraavat kriittiset haavoittuvuudet, joita on jo hyväksikäytetty maailmalla.

Chrome ja Chrome for Android: CVE-2020-16009 (CVSS-arvo: 7.8) on v8 ohjelmointivirhe, joka mahdollistaa etänä suoritettavat komennot.

Chrome for Android: CVE-2020-16010 ei ole vielä saanut CVSS-arvoa (arvo päivitetään, kun se tulee julkiseksi, tilanne tarkastettu 4.11.). Tämä haavoittuvuus mahdollistaa Androidissa hiekkalaatikkosuojauksen (sandbox) ohittamisen.

Haavoittuvuudet koskevat myös Chromium-pohjaista Microsoft Edge -selainta. Microsoft on julkaissut 4.11. uuden version 86.0.622.63, joka paikkaa nämä haavoittuvuudet.

 

Kohde

  • Työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman kirjautumista

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Suojauksen ohittaminen

Hyväksikäyttömenetelmä tiedossa

  • Rikollisessa käytössä
  • Haavoittuvuuden havainnollistava esimerkkikoodi

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot

Kaikki 86.0.4240.183:sta aiemmat Chromen versiot.
Kaikki 86.0.622.63:sta aiemmat Chromiumiin perustuvat Microsoft Edgen versiot.

Ratkaisu- ja rajoitusmahdollisuudet

Päivitä Chrome versioon 86.0.4240.183.

Päivitä Androidin Chrome versioon 86.0.4240.185, kun se tulee saataville Google Playhin.

Päivitä Chromiumiin perustuva Microsoft Edge versioon 86.0.622.63.

6.11 Lisätty Chromiumiin perustuvan Microsoft Edgen tiedot haavoittuvien listalle