U radu programskog paketa Google Chrome uočeni su višestruki nedostaci. Radi se o besplatnom web pregledniku koji ima mogućnost brzog pretraživanja web lokiacija i aplikacija te pretrazivanja weba izravno iz alatne trake. Ranjivosti uočene u njegovom radu javljaju se kao posljedice pograšaka s rukovanjem više dodataka. Napadači ih mogu iskoristiti za zaobilaženje određenih sigurnosnih ograničenja te za kompromitaciju ranjivog sustava. Svim se korisnicima savjetuje nadogradnja na novu, ispravljenu, inačicu.

_______________________________________________________________________________

ID upozorenja: ADV-LSS-2012-04-025
Naslov: Uoceno vise ranjivosti programskog paketa Google Chrome
Datum: 2012-04-12
OS: Windows, Linux, Mac OS
Programski paket: Google Chrome
Tip sigurnosnog problema: Kompromitacija ranjivog sustava i zaobilazenje sigurnosnih ogranicenja
Rizik: Velik
_______________________________________________________________________________

[1]  Uvod

Prilikom u potrebe programskog paketa Google Chrome uoceni su visestruki propusti.

Google Chromeje besplatni web pregldenik.

Bitnije od njegovih mogucnosti su:
- vrlo brzo pokrece web lokacije i aplikacije,
- lako i brzo se skine i instalira,
- pretrazje web izravno iz alatne trake.

Vise informacija dostupno je na sljedecoj adresi:

https://www.google.com/chrome/index.html?hl=hr 

-------------------------------------------------------------------------------

[2]  Sigurnosni problem

Ranjivosti uocene u radu programskog paketa Google Chrome napadacima omogucuju kompromitaciju korisnickog sustava i zaobilazenje odredjenih sigurnosnih ogranicenja.

-------------------------------------------------------------------------------

[3]  Sigurnosna zastita

Svim se korisnicima preporuca nadogradnja na inacicu 18.0.1025.151.

-------------------------------------------------------------------------------

[4]  Analiza

Dvije nespecificne ranjivosti u Flash Playeru mogu uzrokovati probleme s memorijom u Chrome sucelju.

Ostale ranjivosti javljaju se zbog pogresaka s rukovanjem: puta Skia clipping, 
okvirom iframe, dodavanja teksta (eng. run-ins), line box-evima, v8 obvezama, HTML 
medai elementima, pop-up prozorima, SVG resursima, media sadrzajem, promjenom stila 
naredbe, dogadjajima te unutar skripti.

Ranjivosti su potvrdjene u inacicama prije inacice 18.0.1025.151. 

-------------------------------------------------------------------------------

[5]  Credit

Informacije o propustima otkrili su:
- miaubiz,
- Sergey Glazunov,
- SkyLined, Google Chrome Security Team,
- pa_kt preko ZDI,
- Arthur Gerkis,
- Slawomir Blazek,
- Inferno, Google Chrome Security Team.

Tekstovi izvorne preporuke nalazi se sljedecoj web adresi:

http://googlechromereleases.blogspot.com/2012/04/stable-and-beta-channel-updates.html

-------------------------------------------------------------------------------

[6]  LSS/ZESOI/FER  

LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za  elektronicke 
  sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva  
  Sveucilista u Zagrebu  

_______________________________________________________________________________