Abonner
CHROMIUM

Advarer om nulldags-sårbarhet i Chromium-baserte nettlesere

Blir utnyttet av offentlig tilgjengelig angrepskode.

Google og flere andre nettleserleverandører har i løpet av helgen fjernet en alvorlig sårbarhet.
Google og flere andre nettleserleverandører har i løpet av helgen fjernet en alvorlig sårbarhet. Illustrasjonsfoto: Colourbox
Del
Kommenter
Harald BrombachHarald BrombachNyhetsleder
28. mars 2022 - 09:59

Google, Microsoft og flere andre leverandører av Chromium-baserte nettlesere har i løpet av de siste dagene kommet med en haste-sikkerhetsoppdatering til desktop-utgavene for både Windows, MacOS og Linux. Oppdateringen fjerner en sårbarhet (CVE-2022-1096) som Chromium-teamet ble varslet om anonymt den 23. mars. 

Sårbarheten er av typen «type confusion» og er gitt høy alvorlighetsgrad. Google har foreløpig ikke kommet med flere detaljer om selve sårbarheten, men oppgir at angrepskode som utnytter sårbarheten har blitt offentliggjort.

Sårbarheten er fjernet i versjon 99.0.4844.84 eller nyere av Chrome, samt i andre nettlesere basert på Chromium med samme versjonsnummer. 

Artikkelen fortsetter etter annonsen
annonsørinnhold
Computas
30.000 strømmet til Las Vegas for Google Cloud Next. Dette var høydepunktene

Fra null til mange

Det har vært en betydelig økning i mengden av nulldagssårbarheter i Chrome og søsternettleserne de siste årene. Nulldagssårbarheter er sårbarheter som enten blir offentlig kjent eller utnyttes av angripere før en sikkerhetsfiks er tilgjengelig.

Mens det ikke var noen i det hele tatt i årene 2015 til 2018, har antallet nå blitt betydelig, med 14 stykker i 2021 som en foreløpig topp. 

Én manns frivillige innsats skal ha reddet dagen ved å oppdaget en subtil bakdør i Linux. Bildet viser operasjonssentralen til Nasjonalt cybersikkerhetssenter
Les også

Utvikler oppdaget Linux-bakdør: – Ville vært en global katastrofe

Google er åpne om dette og mener at årsaken er sammensatt. Mer åpenhet om at sårbarheter blir utnyttet er en faktor som nevnes, sammen med stadig større utbredelse av Chromium-baserte nettlesere – ikke minst etter at Edge skiftet til denne motoren i 2020. 

Andre faktorer er mer kompleks funksjonalitet i nettleserne, samt det faktum at mer lavthengende frukt, som Flash Player, ikke lenger er tilgjengelig. 

Krever kjeder av sårbarheter

Samtidig opplyser Google at det har blitt vanskeligere å utnytte sårbarhetene. Dette er resultatet av et flerårig prosjekt, Site Isolation, som nå i stor grad er ferdig. Dette gjør at det vanligvis ikke er mulig å få full tilgang til systemet ved hjelp av bare én sårbarhet. I stedet må angripere først utnytte minst én sårbarhet i prosessen for innholdsgjengivelse og deretter ta spranget over i den privilegerte nettleserprosessen eller operativsystemet til enheten ved å utnytte én eller flere sårbarheter der.

Den uavhengige sikkerhetseksperten Gøran Tømte sier han kan forstå begge sider i deres valg og at man må se på helheten før man offentliggjør en løsning som ondsinnede aktører helst ikke skal være oppmerksomme på.
Les også

Hacker-tabbe: – Det burde være et eget «Dark Web» for «the good guys»

Les mer om:
CHROMIUMNETTLESERESÅRBARHETERSIKKERHET
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Forbrukerrådet
Azure utviklere
Forbrukerrådet
Oslo
19. mai
    En tjeneste fra