Albisteak

Ahultasunak GlobalProtect eta Palo Alto Prisma Access Browser-en

Argitalpen-data: 

Laburpen exekutiboa

Hainbat ahultasun larritasun kritikoak eta altuak identifikatu dira Chromiumen, hauek Palo Alto-ren Prisma Access Browser aplikazioari ere eragiten diote. Ahultasun horiek erabili badira, erasotzaile urrunek HTML edukia manipula ditzakete, erabiltzaileen informazio sentikorra lortu, interfazaren suplantazioa burutu edo datuak izateko aukera izango lukete gurutzatutako iturrietan. Bestalde, Palo Alto Networks-en GlobalProtect aplikaziorako macOS sisteman, aurkitu da erabiltzaile ez administratzaile batek bere pribilegioak root mailara igo ditzakeen ahultasuna. Arrisku hauen larritasunari begirik, eguneraketak posible izanda aplikatzea gomendatzen da.

Eragindako baliabideak

  • GlobalProtect App 6.3 (macOS-en < 6.3.3)
  • GlobalProtect App 6.2 (macOS-en < 6.2.8-h2)
  • GlobalProtect App 6.1 (macOS-en guztiak)
  • GlobalProtect App 6.0 (macOS-en guztiak)
  • Chromium Security (berezko bertsio zehaztugabea)
  • Prisma Access Browser (< 136.24.1.93)

Azterketa teknikoa

  • CVE-2025-5063: Erabilera osteko askatzea Compositing-en.
    • CWE-416
    • CVSS: 8.6 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-5280: Muga gaindituzko idazketa V8-en.
    • CWE-787
    • CVSS: 8.6 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-5068: Erabilera osteko askatzea Blink-en Google Chrome 137.0.7151.68 bertsioa baino lehenagokoan, erremoteko erasotzaile bati aukera ematen zion pilatzearen hondamendia usteltzea HTML orrialde manipulatu baten bidez. (Chromiumen segurtasun-larritasuna: Ertaina)
    • CWE-416
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-5419: Irakurketa eta idazketa mugak gaindituz Google Chrome 8 bertsioan 137.0.7151.68 bertsioa baino lehenagokoan, erremoteko erasotzaile bati aukera ematen zion pilatzearen hondamendia usteltzea HTML orrialde manipulatu baten bidez. (Chromiumen segurtasun-larritasuna: Alta)
    • CWE-125
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-4232: Erregistroen bilduma funtzioan komodinak modu ezegonkorrean neutralizatzearen ahultasuna Palo Alto Networksen GlobalProtect™ aplikazioan macOSen, administratzaile ez den erabiltzaile bati bere pribilegioak sustraia izatera igotzea ahalbidetzen du.
    • CWE-155
    • CVSS: 7.1 (alta)
    • Vector CVSS: CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N
    • Explotazioa: Ez da detektatu
  • CVE-2025-5065: FileSystemAccess APIaren inplementazio okerra Google Chrome 137.0.7151.55 bertsioa baino lehenagokoan, erremoteko erasotzaile bati aukera ematen zion erabiltzailearen interfazea suplantatzea HTML orrialde manipulatu baten bidez. (Chromiumen segurtasun-larritasuna: Ertaina)
    • CWE-451
    • CVSS: 6.5 (media)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
    • Explotazioa: Ez da detektatu
  • CVE-2025-5066: Mezuak Google Chrome Androiderako bertsioan egindako inplementazio okerra 137.0.7151.55 bertsioa baino lehenagokoan, erremoteko erasotzaile bati aukera ematen zion, erabiltzaile bati erabiltzailearen interfazeko gestu zehatzak egitera gonbidatu ostean, erabiltzailearen interfazea suplantatzea HTML orrialde manipulatu baten bidez. (Chromiumen segurtasun-larritasuna: Ertaina)
    • CWE-451
    • CVSS: 6.5 (media)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
    • Explotazioa: Ez da detektatu
  • CVE-2025-5281: BFCache-en inplementazio okerra Google Chrome 137.0.7151.55 bertsioa baino lehenagokoan, erremoteko erasotzaile bati aukera ematen zion erabiltzailearen informazioa lortzea HTML orrialde manipulatu baten bidez. (Chromiumen segurtasun-larritasuna: Ertaina)
    • CWE-200
    • CVSS: 5.4 (media)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
    • Explotazioa: Ez da detektatu
  • CVE-2025-5064: Fetch APIaren atzeko planoan egindako inplementazio okerra Google Chrome 137.0.7151.55 bertsioa baino lehenagokoan, erremoteko erasotzaile bati aukera ematen zion jatorri gurutzatutako datuak iragaztea HTML orrialde manipulatu baten bidez. (Chromiumen segurtasun-larritasuna: Ertaina)
    • CWE-200
    • CVSS: 5.4 (media)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
    • Explotazioa: Ez da detektatu
  • CVE-2025-5283: Libvpx-eko erabilera osteko askatzea Google Chrome 137.0.7151.55 bertsioa baino lehenagokoan, erremoteko erasotzaile bati aukera ematen zion pilatzearen hondamendia usteltzea HTML orrialde manipulatu baten bidez. (Chromiumen segurtasun-larritasuna: Ertaina)
    • CWE-416
    • CVSS: 5.4 (media)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
    • Explotazioa: Ez da detektatu
  • CVE-2025-5067: Inplementazio okerra Google Chromeko fitxategi-barran 137.0.7151.55 bertsioa baino lehenagokoan, erremoteko erasotzaile bati aukera ematen zion erabiltzailearen interfazea suplantatzea HTML orrialde manipulatu baten bidez. (Chromiumen segurtasun-larritasuna: Baxua)
    • CWE-290
    • CVSS: 5.4 (media)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
    • Explotazioa: Ez da detektatu
  • CVE-2025-4664: Politika bidezko inplementazio nahikogabea Loader-en Google Chrome 136.0.7103.113 bertsioa baino lehenagokoan, erremoteko erasotzaile bati aukera ematen zion jatorri gurutzatutako datuak iragaztea HTML orrialde manipulatu baten bidez. (Chromiumen segurtasun-larritasuna: Alta)
    • CWE: N/A
    • CVSS: 4.3 (media)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
    • Explotazioa: Ez da detektatu

Arintzea/Konponbidea

Palo Alto Networksen fabrikatzaileak gomendio nagusia ematen du GlobalProtect produktua macOSen eguneratzea. 6.3 bertsiorako, fabrikatzaileak gomendatzen du 6.3.3 bertsiora edo hurrengora eguneratzea. 6.2 bertsiorako, gomendioa da 6.2.8-h2 bertsiora eguneratzea (2025eko ekainean eskuragarri) edo 6.3.3 edo hurrengora. Antzeko moduan, 6.1 eta 6.0 bertsioetarako macOSen, gomendatzen da 6.2.8-h2 edo 6.3.3 edo hurrengora eguneratzea. Fabrikatzaileak nabarmendu du ez dela beharrezkoa ekintzarik GlobalProtect aplikazioan Windows, Linux, Android, iOS eta Chrome OS sistematan. Gainera, Palo Alto Networks-ek jakinarazi du Chromiumen segurtasun-konponbideak bere produktuetan sartu dituela. Prisma Access Browser produkturako, gomendatzen da bertsio zehatzetara eguneratzea.

Erreferentzia gehigarriak