Abonner
CHROMIUM

Advarer om nulldags-sårbarhet i Chromium-baserte nettlesere

Blir utnyttet av offentlig tilgjengelig angrepskode.

Google og flere andre nettleserleverandører har i løpet av helgen fjernet en alvorlig sårbarhet.
Google og flere andre nettleserleverandører har i løpet av helgen fjernet en alvorlig sårbarhet. Illustrasjonsfoto: Colourbox
Del
Kommenter
Harald BrombachHarald BrombachNyhetsleder
28. mars 2022 - 09:59

Google, Microsoft og flere andre leverandører av Chromium-baserte nettlesere har i løpet av de siste dagene kommet med en haste-sikkerhetsoppdatering til desktop-utgavene for både Windows, MacOS og Linux. Oppdateringen fjerner en sårbarhet (CVE-2022-1096) som Chromium-teamet ble varslet om anonymt den 23. mars. 

Sårbarheten er av typen «type confusion» og er gitt høy alvorlighetsgrad. Google har foreløpig ikke kommet med flere detaljer om selve sårbarheten, men oppgir at angrepskode som utnytter sårbarheten har blitt offentliggjort.

Sårbarheten er fjernet i versjon 99.0.4844.84 eller nyere av Chrome, samt i andre nettlesere basert på Chromium med samme versjonsnummer. 

Fra null til mange

Det har vært en betydelig økning i mengden av nulldagssårbarheter i Chrome og søsternettleserne de siste årene. Nulldagssårbarheter er sårbarheter som enten blir offentlig kjent eller utnyttes av angripere før en sikkerhetsfiks er tilgjengelig.

Mens det ikke var noen i det hele tatt i årene 2015 til 2018, har antallet nå blitt betydelig, med 14 stykker i 2021 som en foreløpig topp. 

Kartet som viser antallet norske servere som var sårbare for Terrapin Attack den 4. januar 2023. Dette var de nyeste dataene tilgjengelige da artikkelen ble skrevet.
Les også

Nylig oppdaget angrepsteknikk: Tusenvis av norske servere er berørt

Google er åpne om dette og mener at årsaken er sammensatt. Mer åpenhet om at sårbarheter blir utnyttet er en faktor som nevnes, sammen med stadig større utbredelse av Chromium-baserte nettlesere – ikke minst etter at Edge skiftet til denne motoren i 2020. 

Andre faktorer er mer kompleks funksjonalitet i nettleserne, samt det faktum at mer lavthengende frukt, som Flash Player, ikke lenger er tilgjengelig. 

Krever kjeder av sårbarheter

Samtidig opplyser Google at det har blitt vanskeligere å utnytte sårbarhetene. Dette er resultatet av et flerårig prosjekt, Site Isolation, som nå i stor grad er ferdig. Dette gjør at det vanligvis ikke er mulig å få full tilgang til systemet ved hjelp av bare én sårbarhet. I stedet må angripere først utnytte minst én sårbarhet i prosessen for innholdsgjengivelse og deretter ta spranget over i den privilegerte nettleserprosessen eller operativsystemet til enheten ved å utnytte én eller flere sårbarheter der.

Artikkelen fortsetter etter annonsen
annonsørinnhold
Atea
Riktig utstyr for problemfrie videomøter: Dette sier ekspertene
Googles inkognito-modus i Chrome har vært kontroversiell, og som et ledd i et forlik skal Google nå slette enorme mengder data hentet inn fra brukere som har brukt modusen.
Les også

Slipper rettssak: Sletter enorme mengder data

Les mer om:
CHROMIUMNETTLESERESÅRBARHETERSIKKERHET
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Carnegie AS
Senior IT-spesialist
Carnegie AS
Oslo
2. juni
    En tjeneste fra