Összefoglaló
Egy sérülékenységet jelentettek a Google Chrome szoftverben, amelyet a rosszindulatú támadók kihasználhatnak bizonyos rendszerinformációk felfedéséhez, valamint cross-site scripting támadás lefolytatásához.
Leírás
Egy sérülékenységet jelentettek a Google Chrome szoftverben, amelyet a rosszindulatú támadók kihasználhatnak bizonyos rendszerinformációk felfedéséhez, valamint cross-site scripting támadás lefolytatásához.
A sérülékenységet “ChromeHTML” URI-k nem megfelelő kezelése okozza, amely kihasználható helyi fájlok és könyvtárak felsorolásához vagy tetszőleges HTML és script kód futtatásához a felhasználó böngészőjének munkamenetében, tetszőleges weboldal környezetében, ha a felhasználó egy különlegesen kialakított hivatkozásra kattint az Internet Explorerben.
A sikeres kihasználáshoz, szükséges, hogy a Google Chrome ne fusson és az áldozat Internet Explorerben kövesse a rosszindulatú linket.
A sérülékenységet az 1.0.154.55 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: code.google.com
Egyéb referencia: googlechromereleases.blogspot.com
SECUNIA 34900
CVE-2009-1412 - NVD CVE-2009-1412
CVE-2009-1413 - NVD CVE-2009-1413