Google fikser alvorlig Chrome-sårbarhet med offentlig utnyttelseskode. Forskere avslører nye Intel prosessor sårbarheter som muliggjør minnelekasjer og Spectre v2 angrep.
Google fikser alvorlig Chrome-sårbarhet med offentlig utnyttelseskode
Google har utgitt en nødoppdatering for å rette en alvorlig sårbarhet i Chrome-nettleseren, identifisert som CVE-2025-4664. Denne sårbarheten, oppdaget av sikkerhetsforsker Vsevolod Kokorin fra Solidlab, skyldes utilstrekkelig policyhåndhevelse i Chrome's Loader-komponent. Den tillater fjernangripere å lekke data på tvers av opprinnelser via ondsinnede HTML-sider, spesielt ved å manipulere Link-headeren til å sette en referrer-policy som kan avsløre sensitive spørringsparametere. Dette kan føre til full konto-overtakelse, spesielt i OAuth-autentiseringsflyter. Google er klar over at det eksisterer en offentlig utnyttelseskode for denne sårbarheten, noe som indikerer potensiell aktiv utnyttelse. Oppdateringer som adresserer denne sårbarheten er tilgjengelige i Chrome versjon 136.0.7103.113 for Windows/Linux og 136.0.7103.114 for macOS.
Oppdater Chrome-nettleseren umiddelbart til versjon 136.0.7103.113 (Windows/Linux) eller 136.0.7103.114 (macOS) for å beskytte mot denne sårbarheten. Utviklere bør gjennomgå bruken av Link-headeren og referrer-policyer i sine applikasjoner for å sikre at sensitive data ikke utilsiktet eksponeres.
Forskere avslører nye Intel prosessor sårbarheter som muliggjør minnelekasjer og Spectre v2 angrep
Forskere ved ETH Zürich har avdekket flere nye sikkerhetsfeil i moderne Intel-prosessorer som muliggjør lekkasje av sensitiv informasjon fra minnet. Den mest fremtredende sårbarheten, kalt Branch Privilege Injection (BPI), utnytter spekulativ utførelse og gren forutsigelse for å omgå sikkerhets-barrierer og få tilgang til privilegert minne. Denne sårbarheten er identifisert som CVE-2024-45332 og påvirker alle Intel prosessorer produsert siden 2018. I tillegg er to andre sårbarheter, CVE-2024-28956 og CVE-2025-24495, oppdaget, som tillater lekkasje av kjerneminne med hastigheter opptil 17 Kb/s, og kan bryte domene separasjon, noe som muliggjør tradisjonelle Spectre v2 angrep mellom brukere og virtuelle maskiner.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.