Allvarliga RCE-sårbarheter

WebKit har flera allvarliga sårbarheter som kan utnyttjas för av en angripare för att fjärrköra kod och lura en användare av en sårbar webbläsare, att besöka en skadlig webbplats [1,2].WebKit, som är en webbläsarmotor, har använts av Safari och andra Apple-produkter samt i andra appar för macOS, iOS och Linux. Sårbarheterna, som har upptäckts av Cisco Talos, finns i WebKits funktion i WebSocket, AudioSourceProviderGStreamer och ImageDecoderGStreamer har vardera tilldelats CVSS-klassificering 8.8 av 10 [3].

Påverkade produkter

WebKitGTK, version 2.30.3 och äldre WPE WebKit, version 2.30.3 och äldreWebKit har publicerat säkerhetsuppdateringar för dessa sårbarheter [1,2].

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara produkter snarast.

Källor

[1] https://webkitgtk.org/security/WSA-2020-0009.html
[2] https://webkitgtk.org/security/WSA-2020-0008.html
[3] https://blog.talosintelligence.com/2020/11/vuln-spotlight-webkit-use-after-free-nov-2020.html