Otklonjeno više ranjivosti programskog paketa Google Chrome

Uočeno je nekoliko ranjivosti u radu programskog paketa Google Chrome. Radi se o vrlo jednostavnom i brzom web pregledniku koji omogućuje brzo učitavanje i pretraživanje web stranica. Spomenute ranjivosti uzrokovane su nepravilnom provjerom ulaznih vrijednost. Udaljenim napadačima omogućuju zaobilaženje ograničenja, otkrivanje osjetljivih informacija, izvođenje napada uskraćivanjem usluga te pokretanje proizvoljnog programskog koda. Budući da je odgovarajuća nadogradnja dostupna, svim se korisnicima preporuča njezina primjena.

_______________________________________________________________________________

ID upozorenja: ADV-LSS-2011-03-018
Naslov: Otklonjeno vise ranjivosti programskog paketa Google Chrome
Datum: 2011-03-16
OS: Windows, Mac OS, Linux
Programski paket: Google Chrome
Tip sigurnosnog problema: DoS napad, pokretanje proizvoljnog programskog koda
Rizik: Velik
_______________________________________________________________________________

[1]  Uvod

U radu programskog paketa Google Chrome, inacica namijenjene operacijskim sustavima 
Windows, Mac OS i Linux, uoceni su visestruki sigurnosni propusti.

Google Chrome je besplatni web preglednik, a karakteriziraju ga:
- brzo pokretanje,
- brzo pretrazivanje,
- brzo ucitavanje,
- velika ucinkovitost i jednostavnost koristenja,
- integrirana zastita od zlonamjernog sadrzaja i kradje identiteta i dr.

Više informacija o navedenom programskom paketu moze se pronaci na sljedecoj web adresi:

http://www.google.com/chrome/intl/en/landing_chrome.html

-------------------------------------------------------------------------------

[2]  Sigurnosni problem

Spomenuti sigurnosni propusti napadacima omogucuju izvodjenje napada uskracivanjem 
usluge te pokretanje proizvoljnog programskog koda.

-------------------------------------------------------------------------------

[3]  Sigurnosna zastita

Svim se korisnicima preporuca nadogradnja na inacicu 10.0.648.127.  

-------------------------------------------------------------------------------

[4]  Analiza

Visestruke ranjivosti, uocene u radu programskog paketa Google Chrome, udaljenim
napadacima omogucuju zaobilazenje ogranicenja, otkrivanje osjetljivih informacija, 
izvodjenje DoS (eng. Denial of Service) napada te pokretanje proizvoljnog programskog 
koda. Problemi su uzrokovani nepravilnom provjerom prava pristupa i ulaznih parametara za obradu pogresaka pri upotrebi pokazivaca, zauzimanju memorije te provjere valjanosti pogresaka  za"sandboxed" okvire, X serverom, paralelnim ispisom, brojacima cvorova, rukovanjem DOM URL-ovima te v8 i skriptnim dokumentima, OGG spremnikom, tablicom slika i DataView objektom.

Ranjivosti su potvrdjene u svim inacicama prije 10.0.648.127.

-------------------------------------------------------------------------------

[5]  Credit

Informacije o propustima otkrili su:

sirdarckcat,
Louis Lang, 
Aki Helin, 
Daniel Divricean, 
Martin Barbella, 
Daniel Divricean, 
Sergey Glazunov, 
Daniel Divricean, 
Chamal de Silva, 
miaubiz, 
SkyLined, 
David Weston,
Tavis Ormandy, 
Chris Evans i 
Christian Holler.

Tekstovi izvorne preporuke nalaze se na sljedecim adresama:

http://www.vupen.com/english/advisories/2011/0628

http://googlechromereleases.blogspot.com/2011/03/chrome-stable-release.html

-------------------------------------------------------------------------------

[6]  LSS/ZESOI/FER  

LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za  elektronicke 
  sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva  
  Sveucilista u Zagrebu  

_______________________________________________________________________________

Otklonjeno više ranjivosti programskog paketa Google Chrome

Tražilica portala

Aktivnosti

O CIS-u

Posljednje vijesti

Posljednji dokumenti