Η Google αντιμετώπισε ένα σφάλμα στο component WebGL (Web Graphics Library) του Google Chrome που θα μπορούσε να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα στο πλαίσιο της διαδικασίας του προγράμματος περιήγησης μετά από μια επιτυχημένη εκμετάλλευση.
Το WebGL είναι ένα JavaScript API που χρησιμοποιείται από συμβατά προγράμματα περιήγησης για την απόδοση διαδραστικών γραφικών 2D και 3D χωρίς τη χρήση plug-ins.
Μια επιδιόρθωση για αυτήν την ευπάθεια εκτέλεσης κώδικα περιλαμβάνεται ήδη στο κανάλι έκδοσης beta του Google Chrome και θα κυκλοφορήσει επίσης στο κανάλι Stable με την κυκλοφορία του Google Chrome 85.0.4149.0 που θα κυκλοφορήσει αύριο σύμφωνα με το χρονοδιάγραμμα κυκλοφορίας του Chrome.
Ευπάθεια εκτέλεσης κώδικα υψηλής σοβαρότητας
NASA: Θέλει να στείλει αστροναύτες στον Άρη έως το 2035
Γιατί αναβάλλεται η εκτόξευση του Europa Clipper;
Ανακαλύψτε τον Μικροσκοπικό Εξωπλανήτη κοντά στο Άστρο του Μπαρναρντ
Το ζήτημα ασφαλείας εκτέλεσης κώδικα που ανακαλύφθηκε από τον ανώτερο ερευνητικό μηχανικό της Cisco Talos, Marcin Towalski, ονομάστηκε ως CVE-2020-6492 και έλαβε την υψηλή βαθμολογία 8,3 CVSSv3 Score.
Η ευπάθεια προκαλεί σφάλμα όταν το στοιχείο WebGL αποτυγχάνει να χειριστεί σωστά αντικείμενα στη μνήμη.
“Αυτή η ευπάθεια βρίσκεται στο ANGLE, ένα layer συμβατότητας μεταξύ του OpenGL και του Direct3D που χρησιμοποιείται σε Windows από το πρόγραμμα περιήγησης Chrome”, εξηγεί η Cisco Talos στο advisory της.
“Με τον σωστό χειρισμό της διάταξης της μνήμης, ένας εισβολέας μπορεί να αποκτήσει τον πλήρη έλεγχο αυτής της ευπάθειας μετά τη χρήση που θα μπορούσε τελικά να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα στο πλαίσιο του προγράμματος περιήγησης.”
Το CVE-2020-6492 επηρεάζει τους Google Chrome 81.0.4044.138 (Stable), 84.0.4136.5 (Dev) και 84.0.4143.7 (Canary) και αναφέρθηκε στην Google στις 19 Μαΐου.
Ενημερώσεις ασφαλείας του Google Chrome
Οι προηγούμενες σταθερές εκδόσεις του Google Chrome (Chrοme 84 και Chrοme 83) αντιμετώπισαν 38 ευπάθειες η καθεμία, συμπεριλαμβανομένων ζητημάτων ασφαλείας που χαρακτηρίστηκαν ως κρίσιμα και υψηλής σοβαρότητας.
Ο Chrοme 84 ήρθε επίσης με αυξημένη προστασία σε λήψεις μικτού περιεχομένου και απάτες ειδοποιήσεων προγράμματος περιήγησης.
Η προηγούμενη έκδοση, ο Chrοme 83, παρείχε στους χρήστες μαζικές βελτιώσεις ασφάλειας και απορρήτου, συμπεριλαμβανομένης μιας επανασχεδιασμένης ενότητας ρυθμίσεων “Απόρρητο και ασφάλεια”, μια νέα δυνατότητα ελέγχου ασφάλειας, μια νέα δυνατότητα βελτιωμένης ασφαλούς περιήγησης, καλύτερο έλεγχο των cookies, βελτιωμένες ρυθμίσεις DoH και πολλά ακόμη.
Η Google δεν κυκλοφόρησε την έκδοση 82 του Chrome και αποφάσισε να παραλείψει αυτήν την έκδοση λόγω της πανδημίας και να μεταφέρει όλες τις αλλαγές της στην επόμενη έκδοση.