Albisteak

Palo Alto-ren Prisma Access Browser-en azken eguneratzean aurkitutako kalteberatasun kritikoak

Argitalpen-data: 

Laburpen exekutiboa

Google Chrome-ren azken bertsioetan kalteberatasun kritiko eta altu anitz identifikatu dira, CVSS puntuazioak 9.8 eta 8.8 artekoak direlarik. Hauek erasotzaile urrunari pila hondamendia ustiatzea edo HTML orrialde manipulatuak erabiliz pribilegio igoerak egitea ahalbidetu diezaiokete, berehala mehatxatzen duten egoera bat errepresentatuz, berehalako ekintza eskatzen duena. Segurtasun arazo larri hauek konpontzeko, berehalako zuzenketa eta eguneraketa aplikatzeko gomendio handia egiten da.

Eragindako baliabideak

  • Prisma Access Browser (bertsioak <135.16.8.96)
  • Prisma Access Browser (bertsioak >= 136.11.9.93)

Azterketa teknikoa

  • CVE-2025-4052: Google Chrome-ren DevTools-en inplementazio okerra, 136.0.7103.59 bertsioa baino lehenagokoa, erasotzaile urrunari, erabiltzaile bati erabiltzaile interfazearen gestu zehatzak egitera bultzatuta, HTML orrialde manipulatu baten bidez kontrol diskrezionala saihesteko aukera ematen zuen. (Chromium-en segurtasun larritasuna: Baxua)
    • CWE-838
    • CVSS: 9.8 (kritikoa)
    • CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-4050: Memoria sarbide mugatik kanpo Google Chrome-ren DevTools-en, 136.0.7103.59 bertsioa baino lehenagokoa, erasotzaile urrunari, erabiltzaile bat erabiltzaile interfazearen gestu zehatzak egitera bultzatuta, HTML orrialde manipulatu baten bidez heap hondamena ustiatzeko aukera ematen zuen. (Chromium-en segurtasun larritasuna: Ertaina)
    • CWE-787
    • CVSS: 8.8 (altua)
    • CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-3068: Intents-en inplementazio okerra Google Chrome-ren Android bertsioan, 135.0.7049.52 bertsioa baino lehenagokoa, erasotzaile urrunari HTML orrialde manipulatu baten bidez pribilegioak igotzeko aukera ematen zuen. (Chromium-en segurtasun larritasuna: Ertaina)
    • CWE-20
    • CVSS: 8.8 (altua)
    • CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-3069: Google Chrome-ren luzapenak bertsioa 135.0.7049.52 baino lehenagokoan inplementazio okerra egon zen, erasotzaile urrunari HTML orrialde manipulatu baten bidez pribilegioak igotzeko aukera ematen zuen. (Chromium-en segurtasun larritasuna: Ertaina)
    • CWE-358
    • CVSS: 8.8 (altua)
    • CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-4096: Pila buffer desbordamendua HTML-en Google Chrome-ren 136.0.7103.59 bertsioa baino lehenagokoa, erasotzaile urrunari HTML orrialde manipulatu baten bidez pila hondamena ustiatzeko aukera ematen zuen. (Chromium-en segurtasun larritasuna: Altua)
    • CWE-122
    • CVSS: 8.8 (altua)
    • CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-3066: Google Chrome-ren Nabigazioetan erabilera osteko askatasuna, 135.0.7049.52 bertsioa baino lehenagokoa, erasotzaile urrunari HTML orrialde manipulatu baten bidez multzo hondamena ustiatzeko aukera ematen zuen. (Chromium-en segurtasun larritasuna: Altua)
    • CWE-416
    • CVSS: 8.8 (altua)
    • CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-3067: Google Chrome-ren Android-en fitxak pertsonalizatuen inplementazio okerra, 135.0.7049.52 bertsioa baino lehenagokoa, erasotzaile urrunari, erabiltzaile bat erabiltzaile interfazearen gestu zehatzak egitera bultzatuta, aplikazio manipulatu baten bidez pribilegio igoera egiteko aukera ematen zuen. (Chromium-en segurtasun larritasuna: Ertaina)
    • CWE ez da aurkitu
    • CVSS: 8.8 (altua)
    • CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-3619: Pila buffer desbordamendua Google Chrome-ren Windows-en kodeketan, 135.0.7049.95 bertsioa baino lehenagokoa, erasotzaile urrunari HTML orrialde manipulatu baten bidez pila hondamena ustiatzeko aukera ematen zuen. (Chromium-en segurtasun larritasuna: Kritikoa)
    • CWE-122
    • CVSS: 8.8 (altua)
    • CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-3620: USB-n erabileraren osteko askatasuna Google Chrome-ren 135.0.7049.95 bertsioa baino lehenagokoa, erasotzaile urrunari HTML orrialde manipulatu baten bidez multzo hondamena ustiatzeko aukera ematen zuen. (Chromium-en segurtasun larritasuna: Altua)
    • CWE-416
    • CVSS: 8.8 (altua)
    • CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-4372: WebAudio-n erabileraren osteko askatasuna Google Chrome-ren 136.0.7103.92 bertsioa baino lehenagokoa, erasotzaile urrunari HTML orrialde manipulatu baten bidez multzo hondamena ustiatzeko aukera ematen zuen. (Chromium-en segurtasun larritasuna: Ertaina)
    • CWE-416
    • CVSS: 8.8 (altua)
    • CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu

Arintzea/Konponbidea

Palo Alto Networksek gomendatzen du Prisma Access Browser-en bertsio ahula eguneratzea segurtasun-arazo hauek direla eta. Kaltetutako bertsioak 135.16.8.96 eta 136.11.9.93 baino lehenagokoak dira, eta honako kalteberatasun hauetan oinarritzen dira (CVE-2025-3066tik CVE-2025-4372ra). Erabiltzaileek 135.16.8.96 bertsiora eguneratu behar dute CVE-2025-3066tik CVE-2025-3620ra bitarteko kalteberatasunak arintzeko, eta 136.11.9.93 bertsiora CVE-2025-4050etik CVE-2025-4372ra bitarteko arazoak konpontzeko. Ez da beharrezkoa inolako konfigurazio berezirik arazo honen eraginpean egoteko, eta une honetan, Palo Alto Networksek ez du ezagutzen arazo hau modu gaiztoan ustiatu denik. Ez dago arintze- edo konponbide-alternatibarik erabilgarri.

Erreferentzia gehigarriak