SK-CERT Bezpečnostné varovanie V20210304-04

Dôležitosť Kritická
Klasifikácia Neutajované/TLP WHITE
CVSS Skóre
 8.8
Identifikátor
Kritická bezpečnostná zraniteľnosť v produkte Google Chrome
Popis
Spoločnosť Google vydala bezpečnostnú aktualizáciu na svoj produkt Chrome, ktorá opravuje viacero bezpečnostných zraniteľností, z toho jednu kritickú.
Kritická bezpečnostná zraniteľnosť spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom podvrhnutia špeciálne vytvorenej webovej stránky vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.
Jedna zo zraniteľností je v súčasnosti aktívne zneužívaná útočníkmi.
Dátum prvého zverejnenia varovania
02.03.2021
CVE
CVE-2020-27844, CVE-2021-2114, CVE-2021-21158, CVE-2021-21159, CVE-2021-21160, CVE-2021-21161, CVE-2021-21162, CVE-2021-21163, CVE-2021-21164, CVE-2021-21165, CVE-2021-21166, CVE-2021-21167, CVE-2021-21168, CVE-2021-21169, CVE-2021-21170, CVE-2021-21171, CVE-2021-21172, CVE-2021-21173, CVE-2021-21174, CVE-2021-21175, CVE-2021-21176, CVE-2021-21177, CVE-2021-21178, CVE-2021-21179, CVE-2021-21180, CVE-2021-21181, CVE-2021-21182, CVE-2021-21183, CVE-2021-21184, CVE-2021-21185, CVE-2021-21186, CVE-2021-21187, CVE-2021-21188, CVE-2021-21189, CVE-2021-21190
IOC
Zasiahnuté systémy
Chrome vo verzii staršej ako 89.0.4389.72
Následky
Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému
Odporúčania
Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov.
Taktiež odporúčame poučiť používateľov, aby neotvárali neoverené e-mailové správy, prílohy z neznámych zdrojov a nenavštevovali nedôveryhodné webové stránky.
Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.
Zdroje
https://chromereleases.googleblog.com/2021/03/stable-channel-update-for-desktop.html
https://www.bleepingcomputer.com/news/security/google-fixes-second-actively-exploited-chrome-zero-day-bug-this-year/
https://thehackernews.com/2021/03/new-chrome-0-day-bug-under-active.html
https://www.cybersecurity-help.cz/vdb/SB2021030223
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

« Späť na zoznam
Aktuálne hrozby
všetky oznámenia
Odkazy