Více chyb zabezpečení v prohlížeči Google Chrome

Popis

V prohlížeči Google Chrome bylo nalezeno několik závažných chyb. Škodlivé uživatele mohou tyto chyby zabezpečení zneužít k odmítnutí služby, spouštět libovolný kód, obcházet bezpečnostní omezení, spoofovat uživatelské rozhraní, získávat citlivé informace a provádět útoky skriptování mezi jednotlivými servery.

Níže je uveden kompletní seznam chyb zabezpečení:

1. Bezpilotní použití v komponentě WebUI může být vzdáleně využíváno k odmítnutí služby;
2. Neúplné vymáhání omezení na stránce Nová karta může být vzdáleně využíváno k získání citlivých informací.
3. Neúplné vymáhání "politiky bez odkazu" lze vzdáleně využít k získání citlivých informací;
4. Zranitelnost v komponentě XSS Auditor může být vzdáleně využívána k získání citlivých informací;
5. Více zranitelných míst v Omniboxu lze vzdáleně využívat prostřednictvím speciálně vytvořených webových stránek pro spoof uživatelské rozhraní;
6. Nespecifikovaná chyba zabezpečení v komponentě Oprávnění může být vzdáleně využívána k rozpoznání uživatelského rozhraní.
7. Nedostatečné vynucení omezení týkajících se zásad odkazujících na součást Blink může být vzdáleně využíváno k vyloučení bezpečnostních omezení a získání citlivých informací;
8. Kvůli získání citlivých informací může být vzdáleně využívána zranitelnost izolace URL z různých zdrojů v komponentě WebGL;
9. Nedostatečné vyčištění externích adres URL lze vzdáleně využít k získání citlivých informací.
10. Nespecifikovaná zranitelnost v komponentě OmniBox může být vzdáleně využívána ke zneužití uživatelského rozhraní.
11. Nespecifikovaná chyba zabezpečení může být zneužita vzdáleně pro spoofování uživatelského rozhraní.
12. Nespecifikovaná chyba zabezpečení může být vzdáleně využívána k vyloučení bezpečnostních omezení;
13. Nedostatečná chyba zabezpečení při validaci vstupů v komponentě DevTools může být vzdáleně využívána k provedení útoku skriptování mezi sítěmi (XSS).
14. Chyba zabezpečení přetečení haldy v komponentě WebGL může být vzdáleně využívána, aby způsobila odmítnutí služby a spuštění libovolného kódu;
15. Nedostatečná chyba zabezpečení uživatelů v komponentě Automatické načtení může být vzdáleně využívána k získání citlivých informací.
16. Celá zranitelnost přetečení v WebAssembly může být vzdáleně využívána k odmítnutí služby;
17. Mnohé nedostatky izolace v komponentě DevTools lze vzdáleně využít k vynechání bezpečnostních omezení;
18. Celočíselný přetečení v komponentě Blink lze vzdáleně využít, což způsobuje odmítnutí služby.
19. Zranitelnost stavu závodu může být vzdáleně využívána k vyloučení bezpečnostních omezení;
20. Nespecifické zranitelnosti v komponentě Shared Worker mohou být vzdáleně využívány k vyloučení bezpečnostních omezení;
21. Bezplatné použití v komponentě PDFium lze vzdáleně využít k výkresu libovolného kódu;
22. Použití neinicializované chyby zabezpečení v komponentě Open Graphics Library for Embedded Systems může být vzdáleně využíváno, aby způsobilo odmítnutí služby a získání citlivých informací.
23. Nesprávné složení zranitelnosti proměnných lze vzdáleně využít k spoofování uživatelského rozhraní.

Oficiální doporučení

• CHROMIUM-ISSUE-773952

• CHROMIUM-ISSUE-773161
• Stable Channel Update for Desktop

Související produkty

• Google-Chrome

seznam CVE

Zobrazit více

Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com