Zbog baga u Chromeu milijarde korisnika u riziku od krađe podataka

Vesti, 12.08.2020, 10:00 AM

Zbog baga u Chromeu milijarde korisnika u riziku od krađe podataka

Ako niste ažurirali Chrome, Operu ili Edge na najnoviju dostupnu verziju, bilo bi dobro da to uradite što pre.

Istraživači firme PerimeterX u ponedeljak su otkrili detalje o do sada nepoznatom bagu u veb pregledačima za Windows, Mac i Android baziranim na Chromiumu, koji može omogućiti napadačima da potpuno zaobiđu pravila o bezbednosti sadržaja (CSP), ukradu podatke posetilaca sajta i pokrenu zlonamerni kod.

Bag (CVE-2020-6519) utiče na milijarde korisnika, na Chrome od verzije 73 (objavljena u martu prošle godine) do verzije 83 (verzijom 84 objavljena u julu bag je ispravljen).

CSP je veb standard koji je namenjen sprečavanju određenih vrsta napada, uključujući XSS (cross-site scripting) napade i napade ubrizgavanja podataka. CSP omogućava veb administratorima da odrede domene koje pregledač treba da smatra validnim izvorima izvršnih skripti. Pregledač kompatibilan sa CSP-om će izvršavati samo skripte učitane u fajlovima primljenim sa tih domena.

„CSP je primarna metoda koju vlasnici veb sajtova koriste za primenu pravila o bezbednosti podataka kako bi sprečili izvršavanje zlonamernih kodova na njihovim veb sajtovima, pa kada njihova primena može da se zaobiđe, lični podaci korisnika su u opasnosti“, objasnili su istraživači.

Prema njihovim rečima, mnogi veb sajtovi koriste CSP, uključujući i neke od najpopularnijih veb sajtova kao što su ESPN, Facebook, Gmail, Instagram, TikTok, WhatsApp, Wells Fargo i Zoom. Sa druge strane, na neke ovo nema uticaja a među njima su GitHub, Google Play Store, LinkedIn, PayPal, Twitter, Yahooova Login stranica i Yandex.

Zanimljivo je da je na isti bag pre više od godinu dana upozorio istraživač kineske kompanije Tencent, i to samo mesec dana nakon objavljivanja Chromea 73 u martu 2019. godine, ali to pitanje nije rešeno sve dok PerimeterX nije ukazao na ovaj problem marta ove godine.

Nakon njihovog upozorenja, Chromeov tim je izdao zakrpu za ranjivost u ažuriranju Chrome 84 (verzija 84.0.4147.89) koje je objavljeno 14. jula.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Nemačka policija istražuje prvi slučaj smrti zbog napada ransomwarea na bolnicu

Nemačka policija istražuje prvi slučaj smrti zbog napada ransomwarea na bolnicu

Nemačke vlasti istražuju smrt pacijenta posle napada ransomwarea na bolnicu u Diseldorfu. Reč je o pacijentkinji kojoj je bila potrebna hitna medic... Dalje

Korisnici Googleovog programa napredne zaštite sada mogu tražiti skeniranje fajlova

Korisnici Googleovog programa napredne zaštite sada mogu tražiti skeniranje fajlova

Google je dodao novu funkciju svom programu za zaštitu visokorizičnih korisnika, kao što su novinari, političke organizacije i aktivisti. Od juče... Dalje

Sajber-kriminal u doba pandemije

Sajber-kriminal u doba pandemije

Ako ste mislili da 2020. ne može biti gora, grešite. Ni sajber-prostor nije pošteđen loših dešavanja. Mnogi su zbog pandemije bili prinuđeni da... Dalje

Razer greškom otkrio privatne podatke više od 100000 gejmera

Razer greškom otkrio privatne podatke više od 100000 gejmera

Proizvođač opreme za gejmere, kompanija Razer, slučajno je otrkio privatne podatke više od 100000 igrača koji su bili javno dostupni skoro mesec ... Dalje

Microsoft Edge dobija svoj generator lozinki

Microsoft Edge dobija svoj generator lozinki

Canary i Dev verzije Microsoft Edgea često se ažuriraju novim funkcijama koje su skrivene ili nisu poznate široj javnosti. Jedna od takvih funkcija... Dalje