Hlavní navigace

Postřehy z bezpečnosti: nová zero-day zranitelnost pro Google Chrome

CESNET CERTS

Dnes se podíváme na velmi závažnou zero-day zranitelnost v Google Chrome. Ukážeme si, jak velká může být nedbalost vývojářů aplikací pro chytré telefony, že i Apple umí ignorovat některé ohlášené chyby a další.

Doba čtení: 2 minuty

Sdílet

Nová zero-day zranitelnost pro Google Chrome

Bezpečnostní odborník Clement Lecigne z Google Threat Analysis Group objevil novou a vysoce závažnou zranitelnost v Google Chrome, která umožňuje potenciálnímu útočníkovi spuštění libovolného kódu a převzetí kontroly nad počítačem. Zranitelnost má přiřazeno označení CVE-2019–5786 a postihuje verze Chrome pro Windows, Linux i macOS.

Bližší technické detaily o zranitelnosti doposud nebyly zveřejněny, aby měli uživatelé dostatek času na aktualizaci. Nicméně z dostupných střípků vyplývá, že chyba je někde v API pro FileReader a jediné, co je potřeba k jejímu zneužití, je nalákat uživatele na škodlivou stránku. Google v tuto chvíli již bohužel zaznamenal známky aktivního zneužívání této zranitelnosti. 

Chyba již byla opravena a uživatelé by měli neprodleně aktualizovat na verzi 72.0.3626.121.

Masivní únik dat z CallerID aplikace Dalil App

Dalil App je CallerID aplikace pro Saudskou Arábii a další arabské uživatele. Již více než týden je její kompletní databáze v MongoDB přístupná celému světu bez jakékoliv autentizace. Databáze obsahuje veškerá aplikační data včetně telefonních čísel, informací o zařízení, detaily uživatelského účtu, GPS souřadnice, záznamy aktivity a další. Celkem je k dispozici téměř 600GB dat o více než 5 milionech aktivních uživatelů a vzhledem k tomu, že neustále přibývají další, se s vysokou pravděpodobností jedná o produkční systém.

Bezpečnostní výzkumníci opakovaně informovali vývojáře aplikace, ale doposud k nápravě nedošlo. Jeden z výzkumníků dokonce popisuje, že v jednom momentě přistoupil k databázi neznámý útočník, část dat zašifroval a nechal za sebou žádost o výkupné, nicméně IT tým Dalil si ničeho ani nevšiml a uživatelská data se dál vesele ukládají do zjevně kompromitované databáze.

Google zveřejnil dosud neopravenou chybu v jádře macOS

Bezpečnostní výzkumníci z Google divize Project Zero zveřejnili detaily a proof-of-concept exploit dosud neopravené zranitelnosti vysoké závažnosti v jádře macOS. Ke zveřejnění přistoupili poté, co Apple nebyl schopen po 90 dní od prvního neveřejného ohlášení chyby tuto opravit. Chyba spočívá v možnosti obejít copy-on-write mechanismus a využít tak vektory útoku prostřednictvím neoprávněné manipulace s obsahem paměti. Podle dostupných informací již Apple pracuje na opravě chyby, která by měla být zahrnuta do dalšího vydání.

Ve zkratce

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…