CHROMIUM

Advarer om nulldags-sårbarhet i Chromium-baserte nettlesere

Blir utnyttet av offentlig tilgjengelig angrepskode.

Google og flere andre nettleserleverandører har i løpet av helgen fjernet en alvorlig sårbarhet.
Google og flere andre nettleserleverandører har i løpet av helgen fjernet en alvorlig sårbarhet. Illustrasjonsfoto: Colourbox
Harald BrombachHarald BrombachNyhetsleder
28. mars 2022 - 09:59

Google, Microsoft og flere andre leverandører av Chromium-baserte nettlesere har i løpet av de siste dagene kommet med en haste-sikkerhetsoppdatering til desktop-utgavene for både Windows, MacOS og Linux. Oppdateringen fjerner en sårbarhet (CVE-2022-1096) som Chromium-teamet ble varslet om anonymt den 23. mars. 

Sårbarheten er av typen «type confusion» og er gitt høy alvorlighetsgrad. Google har foreløpig ikke kommet med flere detaljer om selve sårbarheten, men oppgir at angrepskode som utnytter sårbarheten har blitt offentliggjort.

Sårbarheten er fjernet i versjon 99.0.4844.84 eller nyere av Chrome, samt i andre nettlesere basert på Chromium med samme versjonsnummer. 

Fra null til mange

Det har vært en betydelig økning i mengden av nulldagssårbarheter i Chrome og søsternettleserne de siste årene. Nulldagssårbarheter er sårbarheter som enten blir offentlig kjent eller utnyttes av angripere før en sikkerhetsfiks er tilgjengelig.

Mens det ikke var noen i det hele tatt i årene 2015 til 2018, har antallet nå blitt betydelig, med 14 stykker i 2021 som en foreløpig topp. 

Pål Wien Espen overleverer en risiko- og sårbarhetsanalyse for den digitale infrastrukturen i Trøndelag til digitaliseringsminister Karianne Tung.
Les også

Trondheim er sårbart – frykt for at fiberbrudd kan isolere Nord-Norge

Google er åpne om dette og mener at årsaken er sammensatt. Mer åpenhet om at sårbarheter blir utnyttet er en faktor som nevnes, sammen med stadig større utbredelse av Chromium-baserte nettlesere – ikke minst etter at Edge skiftet til denne motoren i 2020. 

Andre faktorer er mer kompleks funksjonalitet i nettleserne, samt det faktum at mer lavthengende frukt, som Flash Player, ikke lenger er tilgjengelig. 

Krever kjeder av sårbarheter

Samtidig opplyser Google at det har blitt vanskeligere å utnytte sårbarhetene. Dette er resultatet av et flerårig prosjekt, Site Isolation, som nå i stor grad er ferdig. Dette gjør at det vanligvis ikke er mulig å få full tilgang til systemet ved hjelp av bare én sårbarhet. I stedet må angripere først utnytte minst én sårbarhet i prosessen for innholdsgjengivelse og deretter ta spranget over i den privilegerte nettleserprosessen eller operativsystemet til enheten ved å utnytte én eller flere sårbarheter der.

Riksrevisjonen har egne folk til å simulere dataangrep mot norske offentlige virksomheter. I 2024 avslørte de mangelfull sikring i forskningsmiljøene. Fra venstre: IT-revisor Egil Andresen, prosjektleder Thomas Solberg og IT-revisor Børre Lagesen, her fotografert i anledning sistnevnte sak, men det er ikke kjent om det var akkurat disse tre som avslørte sårbarheten i denne saken.
Les også

Fikk tilgang til store mengder helse- og personopplysninger – som de ikke skulle hatt

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.