Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

KLA10655
Více chyb zabezpečení v prohlížeči Google Chrome
Aktualizováno: 01/11/2016
Detekováno
?
09/01/2015
Míra zranitelnosti
?
Kritická
Popis

V prohlížeči Google Chrome bylo nalezeno několik závažných chyb. Uživatelé se zlými úmysly mohou tuto chybu zabezpečení zneužít ke zneužití uživatelského rozhraní, způsobit odmítnutí služby, obejit bezpečnostní omezení nebo získat citlivé informace.

Níže je uveden úplný seznam chyb zabezpečení

  1. Nedostatečná omezení obsahu v okně hostované aplikace může být vzdáleně využívána prostřednictvím speciálně navržené aplikace pro spoofování uživatelského rozhraní.
  2. Nedostatečné overení dat v aplikaci Blink lze vzdáleně využívat prostřednictvím speciálně navrženého webu, které způsobuje odmítnutí služby.
  3. Dvojnásobná volná zranitelnost ve formátu PDFium může být vzdáleně využívána k odmítnutí služby;
  4. Mnohé nespecifikované zranitelnosti mohou být vzdáleně využívány k tomu, aby způsobily odmítnutí služby nebo případné jiné dopady;
  5. Nesprávná omezení IFRAME v aplikaci Blink mohou být vzdáleně využívána prostřednictvím speciálně vytvořeného jazyka JavaScript pro získání citlivých informací;
  6. Bezbariérový přístup po ukončení hovoru v aplikaci Blink lze vzdáleně využít pomocí manipulací s časovačem, které způsobují odmítnutí služby;
  7. Nedostatečná omezení URL v odinstalaci rozšíření lze vzdáleně využít pomocí speciálně navrženého rozšíření pro přístup k libovolné adrese URL.
  8. Nesprávné posouzení zdroje žádostí v rozhraní API WebRequest lze vzdáleně využívat prostřednictvím speciálně navržené aplikace nebo rozšíření, které obcházejí bezpečnostní omezení.
  9. Nedostatek omezení zobrazování znaků může být vzdáleně využíván prostřednictvím speciálně navržené adresy URL pro spoofování uživatelského rozhraní.
  10. Mnohé zranitelnosti po použití zdarma v aplikaci PrintWebViewHelper mohou být vzdáleně využívány prostřednictvím speciálně vytvořených zpráv IPC, které způsobí odmítnutí služby;
  11. Nedostatečné ověření dat v Skia může být vzdáleně využíváno k odmítnutí služby;
  12. Neznámá zranitelnost v aplikaci Blink může být vzdáleně využívána k vyloučení bezpečnostních omezení;
  13. Nedostatečné omezení v aplikaci Blink lze vzdáleně využívat prostřednictvím speciálně navrženého webového místa k vynechání bezpečnostních omezení.

Technické údaje

(1) způsobené skrytí liště umístění pro okno hostované aplikace po navigaci mimo místo instalace.

Funkce rozložení v režimu Blink neověřuje úspěšnost operace inverzní matice. Unitializovaný přístup k paměti a havárii aplikace mohou být způsobeny použitím (2)

(3) týkající se OpenJPEG před r3002.

(5) způsobené nedostatečnými omezeními v dostupnosti API časování zdrojů IFRAME. Může být využíván prostřednictvím speciálně navrženého kódu JavaScript, který způsobuje volání history.back.

Chyba zabezpečení (6) může být vyčerpána pomocí chybného spouštění sdíleného časovače.

Při odinstalování rozšíření Chrome se nezajistí, že preference setUninstallURL odpovídá webové stránce se správnou funkčností. (7) lze využít pro přístup k libovolné adrese URL po speciálně navržené odinstalaci aplikací.

Chyba zabezpečení (9) má některé požadavky, které je třeba využít. Vzhledem k tomu, že Chrome neomezuje zobrazení symbolu Unicide LOCK, může útočník vyřadit ikonu zámku SSL umístěním speciálního symbolu na konci adresy URL v lokalizacích s jazyky zprava doleva.

(10) může být během přípravy na tisk využíváno prostřednictvím vnořených IPC zpráv.

(11) lze využít prostřednictvím maticového prvku, který způsobuje nekonečný výsledek při výpočtu inverze.

Využívání (12) vede k obejití zásady Same Origin.

(13) způsobené chybějící kontrolou, zda je uzel DOM očekáván a vede k vynechání zásady stejného původu prostřednictvím poškození stromu DOM.

Zasažené produkty

Verze Google Chrome starší než 45.0.2454.85

Řešení

Aktualizace na nejnovější verzi. Soubor s názvem old_chrome může být po aktualizaci stále zjištěn. To způsobilo aktualizace zásad Google Chrome, která při instalaci aktualizací neodstraňuje staré verze. Pokuste se kontaktovat dodavatele s dalšími pokyny k odstranění nebo ignorovat taková upozornění na vlastní nebezpečí.
Získejte Google Chrome

Oficiální doporučení

Google release blog entry

Dopad
?
SUI 
[?]

OSI 
[?]

SB 
[?]

DoS 
[?]
Související produkty
Google Chrome
CVE-IDS
?

CVE-2015-1291
CVE-2015-1292
CVE-2015-1293
CVE-2015-1294
CVE-2015-1295
CVE-2015-1296
CVE-2015-1297
CVE-2015-1298
CVE-2015-1299
CVE-2015-1300
CVE-2015-1301
CVE-2015-6580
CVE-2015-6581
CVE-2015-6582
CVE-2015-6583


Odkaz na originál