Das indische Computer Emergency Response Team (CERT-In) des IT-Ministeriums hat eine Warnung mit hohem Schweregrad für Google Chrome-Browser Benutzer. Die Warnung richtet sich an Benutzer, die die Desktop-Version des Browsers vor 101.0.4951.41 verwenden. Gemäß der Warnung wurden mehrere Schwachstellen gemeldet Google Chrome die von jemandem ausgenutzt werden kann, um willkürlichen Code auszuführen, vertrauliche Informationen zu erhalten, Sicherheitsbeschränkungen zu umgehen und einen Pufferüberlauf auf dem Zielsystem zu verursachen.
Das Advisory enthüllt weiter, „diese Schwachstellen existieren in Google Chrome aufgrund von Use after Free in Vulkan, SwiftShader, ANGLE, Device API, Sharing, File System API, Ozone, Browser Switcher, Bookmarks, Dev Tools und File Manager; Unangemessene Implementierung in WebGL, Erweiterungs-API, Eingabe, HTML-Parser, Webauthentifizierung und Frame; Heap-Pufferüberlauf in WebGPU- und Web-UI-Einstellungen; Typverwirrung in V8; Außerhalb des Bereichs liegender Speicherzugriff im UI Shelf; Unzureichende Datenvalidierung in Blink Editing, Trusted Types und Dev Tools; Falsche Sicherheits-UI in Downloads.“
Die erfolgreiche Ausnutzung dieser Schwachstellen könnte es einem entfernten Angreifer ermöglichen, beliebigen Code auszuführen, vertrauliche Informationen zu erhalten, Sicherheitsbeschränkungen zu umgehen und einen Pufferüberlauf auf dem Zielsystem zu verursachen. Um jeglichen Betrug zu vermeiden, will das CERT-In Google Chrom Benutzer auf dem Desktop, um auf Version 101.0.4951.41 zu aktualisieren. Die genannte Version wurde letzte Woche vom Tech-Giganten ausgerollt und enthält eine Reihe von Korrekturen und Verbesserungen.
Letzte Woche erwähnte das CERT-In auch, dass mehrere Schwachstellen bei Benutzern des Android-Betriebssystems gemeldet wurden. Die Warnung mit hohem Schweregrad galt für Benutzer von Android 10-, Android 11-, Android 12- und Android 12L-Benutzern. Gemäß der Empfehlung könnte eine erfolgreiche Ausnutzung dieser Schwachstellen es dem Angreifer ermöglichen, erhöhte Privilegien zu erlangen, vertrauliche Informationen offenzulegen und Denial-of-Service-Bedingungen (DoS) auf dem Zielsystem zu verursachen.