Google retter en aktivt utnyttet Android zero-day og 124 andre sårbarheter. VS Code-nulldagssårbarhet lar angripere stjele GitHub-token med ett klikk.
Google retter en aktivt utnyttet Android zero-day og 124 andre sårbarheter
Google har publisert Android-sikkerhetsoppdateringene for juni 2026 som retter 124 sårbarheter, inkludert en zero-day som er blitt utnyttet i målrettede angrep. Den aktivt utnyttede sårbarheten CVE-2025-48595 finnes i Android Framework og påvirker enheter som kjører Android 14 eller nyere. Feilen gjør det mulig for en lokal angriper å oppnå kodekjøring og privilegieeskalering på sårbare enheter. Google opplyser at sårbarheten har vært under begrenset og målrettet utnyttelse. Oppdateringen retter også 18 kritiske sårbarheter i System-, Framework- og Qualcomm komponenter. Den mest alvorlige av disse kan føre til ekstern privilegieeskalering uten behov for brukerinteraksjon eller ekstra kjørerettigheter. Oppdateringene distribueres gjennom sikkerhetsnivåene 2026-06-01 og 2026-06-05, der sist nevnte inkluderer alle rettelser fra første nivå samt ytterligere tredjeparts- og kjerne komponenter.
Installer Android-sikkerhetsoppdateringen fra juni 2026 så snart den er tilgjengelig for enheten.
VS Code-nulldagssårbarhet lar angripere stjele GitHub-token med ett klikk
En offentliggjort nulldagssårbarhet i Visual Studio Code gjør det mulig å stjele GitHub OAuth-token ved å lure brukere til å klikke på en lenke. Sårbarheten påvirker github.dev og utnytter meldingsutvekslingen mellom VS Code sine sandkasse isolerte webviews og hoved editoren. Det publiserte proof-of-concept angrepet kjører ondsinnet JavaScript i et webview og simulerer tastetrykk, installerer en utvidelse og henter ut GitHub OAuth-tokenet som sendes til github.dev. Tokenet er ikke begrenset til ett enkelt repository og gir tilgang til alle private repositories brukeren har tilgang til. Angrepet bruker deretter GitHub API-et til å kartlegge tilgjengelige private repositories. På publiseringstidspunktet var sårbarheten ikke rettet og hadde ikke fått tildelt CVE-nummer.
Tøm informasjonskapsler og lokal nettstedsdata for github.dev slik at innlogging til GitHub-utvidelsen krever eksplisitt godkjenning ved åpning av potensielt ondsinnede lenker
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.