Chrome 126-oppdatering retter minnesikkerhetsfeil. Polyfill supply chain angrep knyttet til over 100 tusen nettsteder.
Chrome 126-oppdatering retter minnesikkerhetsfeil
Google har utgitt en sikkerhetsoppdatering for Chrome som løser fire alvorlige minnefeil, kjent som bruk-etter-frigjøringsproblemer. Disse feilene påvirker Dawn og Swiftshader-komponentene i nettleseren, og er tildelt CVE-2024-6290 til CVE-2024-6293. Tre av feilene ble rapportert av forskeren 'wgslfuzz', og den fjerde av Cassidy Kim. Google belønnet forskerne med henholdsvis $10 000 og $4 000.
Den nyeste Chrome-versjonen rulles ut som 126.0.6478.126 for Linux, 126.0.6478.126/127 for Windows og macOS, og 126.0.6478.122 for Android.
"Use-after-free" problemer oppstår når frigjort minne fortsatt brukes, noe som kan utnyttes til å kjøre vilkårlig kode eller forårsake denial of service(DoS). Google har arbeidet med å redusere slike problemer, blant annet ved å innføre det minnesikre programmeringsspråket Rust.
Brukere anbefales å oppdatere umiddelbart, selv om ingen av feilene er kjent for å være utnyttet i det fri.
Polyfill supply chain angrep knyttet til over 100 tusen nettsteder
Sikkerhetsforskere advarer om et supply chain angrep som påvirker over 100 000 nettsteder som bruker domenet "cdn.polyfill.io".
Domenet, tidligere brukt for å legge til JavaScript-polyfills, ble overtatt av det kinesiske selskapet Funnull i februar 2024, noe som vekket bekymringer om mulige angrep.
Sansec og C/side bekreftet nylig at cdn.polyfill.io setter inn ondsinnet kode på nettsteder, og omdirigerer brukere til sportsbetting- og voksen-nettsteder. Koden unngår oppdagelse ved å målrette spesifikke enheter og skjule sin tilstedeværelse. Brukere advares om potensielle fremtidige angrep som formjacking, clickjacking og datatyveri.
Google advarte annonsører om problemene og blokkerer Google Ads for berørte nettsteder. Alternativer til polyfill.io, som tilbys av selskaper som Cloudflare, anbefales. Den opprinnelige polyfill-forfatteren, Andrew Betts, advarte om at den nye eieren ikke burde stoles på, ettersom moderne nettlesere nå har nødvendig funksjonalitet innebygd.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.