Tilkynnt var um nokkra alvarlega veikleika í Chrome hjá Google og Cacti hjá Cacti Group Vitað er til þess að verið sé að misnota veikleikann í Chrome. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður.
Alvarlegir veikleikar (e. critical)
Google Chrome
Veikleikinn CVE-2024-4947 getur gert ógnaraðila kleift að fá aðgang að biðminni utan marka (e. out-of-bounds memory read/write) og framkvæma handahófskennda keyrslu á kóða (e. arbitrary code execution) [1,2].
Cacti
Veikleikinn CVE-2024-12345 gerir ógnaraðilum kleift að framkvæma sérútbúnar SQL fyrirspurnir (e. crafted SQL queries) sem geta leitt til gagnastuldar (e. data exfiltration) [3].
Eftirfarandi kerfi eru veik fyrir göllunum:
Google Chrome: Mac/Windows < 125.0.6422.60/.61 og Linux < 125.0.6422.60
Cacti: < 1.2.19
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:
Google Chrome: Mac/Windows 125.0.6422.60/.61 og Linux 125.0.6422.60
Cacti: 1.2.20
Tilvísanir:
[1] https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_15.html
[2] https://www.bleepingcomputer.com/news/google/google-patches-third-exploited-chrome-zero-day-in-a-week/
[3] https://thehackernews.com/2024/05/critical-flaws-in-cacti-framework-could.html
