Google hat die finale Version von Chrome 117 zum Download freigegeben. Das Update beinhaltet Fixes für 16 Sicherheitslücken, für die Google Prämien in Höhe von 18.500 Dollar ausschüttet. Angreifer können unter Umständen Schadcode einschleusen und innerhalb der Sandbox des Browsers ausführen.
Den Versionshinweisen zufolge sind Komponenten wie Custom Tabs, Prompts, Inputs und Downloads angreifbar. Ein geringes Risiko geht von Bugs in Autofill, Picture in Picture und Interstitials aus.
Darüber hinaus listet Google erneut die Anfang der Woche geschlossene Zero-Day-Lücke mit der Kennung CVE-2023-4900. Eine speziell gestaltete Datei im WebP-Format kann offenbar einen Heap-Pufferüberlauf auslösen und eine Remotecodeausführung außerhalb der Sandbox ermöglichen.
Inzwischen wurde bekannt, dass der eigentliche Fehler in der Grafikbibliothek LibWebP steckt. Diese Bibliothek wird auch von zahlreichen anderen Anwendungen benutzt – Notfallpatches stehen unter anderem für Mozilla Firefox, Brave und Microsoft Edge zur Verfügung.
Stack Diary weist darauf hin, dass auch alle Electron-basierten Apps betroffen sind, darunter die Messenger-App Signal. Auch Brandisoft habe ein Update für seine Software Honeyview veröffentlicht. Außerdem sollen die Design-Software Affinity, Gimp, Inkscape, LibreOffice, Telegram und ffmpeg betroffen sein. Stack Diary zufolge steckt die Bibliothek außerdem in vielen Android-Apps sowie mit Flutter entwickelten Cross-Plattform-Anwendungen.
„Wie schlimm ist es? Sehr schlimm. Wenn ein Angreifer einen Heap-Pufferüberlauf ausnutzen kann, ist er möglicherweise in der Lage, die Kontrolle über ein System zu übernehmen, Daten zu stehlen oder Malware einzuschleusen. Der Schutz vor solchen Schwachstellen ist entscheidend“, warnt Stack Diary.
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.