Kritična ranjivost u Google Chrome pregledniku
Google je izdao sigurnosnu nadogradnju kako bi otklonio kritičnu ranjivost koja je pronađena u Chrome web pregledniku. Ranjivost, klasificirana kao CVE-2023-4863, uzrokovana je propustom prelijevanja međuspremnika (engl. heap-based buffer overflow) u WebP formatu slika. Ranjivošću su zahvaćeni Chrome preglednici koji se koriste na operativnim sustavima Windows, Mac i Linux, a prema informacijama iz Google-a, ranjivost se već aktivno iskorištava.
Korisnicima se preporučuje žurno ažuriranje Chrome web preglednika na najnovije dostupne verzije.
Napomena: Ova kritična ranjivost ne utječe samo na web preglednike, već i na širok raspon aplikacija koje koriste libwebp biblioteku za renderiranje WebP slika. To uključuje aplikacije temeljene na Electronu kao što su Signal, 1Password i softver kao što je Honeyview. Korisnicima se preporučuje žurno ažuriranje na zadnje dostupne verzije svih pogođenih programa.
Napomena: Ova kritična ranjivost ne utječe samo na web preglednike, već i na širok raspon aplikacija koje koriste libwebp biblioteku za renderiranje WebP slika. To uključuje aplikacije temeljene na Electronu kao što su Signal, 1Password i softver kao što je Honeyview. Korisnicima se preporučuje žurno ažuriranje na zadnje dostupne verzije svih pogođenih programa.
Tehnički detalji kritične ranjivosti popravljene ovim ažuriranjem:
Ranjivost je posljedica prelijevanja međuspremnika u memoriji u WebP formatu slika koji je dio Chrome preglednika. Ovaj propust omogućava izvršavanje proizvoljnog koda ili može uzrokovati pad preglednika. Ranjivost je otkrivena i prijavljena od strane Apple Security Engineering and Architecture (SEAR) i The Citizen Lab na Munk školi Sveučilišta u Torontu. CVSS ocjena za druge srodne ranjivosti kreće se između 8.8 i 9.6, što ukazuje na kritičnu razinu rizika.
Zahvaćeni proizvodi:
- Google Chrome verzije prije 116.0.5845.187/.188
- Preglednici temeljeni na Chromium-u poput Microsoft Edge, Brave, Opera i Vivaldi koji još nisu ažurirali na najnovije dostupne verzije.
- Bilo koji softver koji koristi libwebp biblioteku, uključujući Honeyview, Affinity, Gimp, Inkscape, LibreOffice, Telegram, ffmpeg i razne Android aplikacije i aplikacije za više platformi izrađene s Flutterom, kao i Firefox proizvode.
Preporuke:
- Žurno ažurirati Google Chrome na najnoviju dostupnu verziju kako bi ublažili štetne posljedice povezane s tom ranjivosti.
- Za druge preglednike temeljene na Chromium-u, ažurirati na najnovije verzije čim postanu dostupne.
- Provjerite je li preglednik ažuriran, kroz izbornik Chrome > Pomoć > O Google Chrome.
- Organizacije bi trebale distribuirati ovu nadogradnju putem svojih mreža kako bi osigurale sigurnost svih sustava.
Više informacija moguće je pročitati na poveznicama u nastavku:
[ažurirano 18.9.2023 - 10:25]
Normativni akti
- Ustav Republike Hrvatske
- Strategija nacionalne sigurnosti
- Zakon o sustavu domovinske sigurnosti
- Zakon o sigurnosno-obavještajnom sustavu RH
- Zakon o tajnosti podataka
- Zakon o informacijskoj sigurnosti
- Uredba o mjerama informacijske sigurnosti
- Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti
- Zakon o provedbi Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. (Zakon o provedbi kibernetičke sigurnosne certifikacije)
- Zakon o kibernetičkoj sigurnosti
- Odluka o provedbi Odluke br. 1104/2011/EU Europskog parlamenta i Vijeća od 25. listopada 2011. o pravilima za pristup javno reguliranoj usluzi koju pruža globalni navigacijski satelitski sustav uspostavljen u sklopu programa Galileo
- Smjernice za postupanje s neklasificiranim podacima