Prisma Browser-era eragina duten ahultasunak (Palo Alto Networks)

Argitalpen-data: 

Laburpen exekutiboa

SPalo Alto Networksek PAN‑SA‑2026‑0002 abisua argitaratu du, bertan jakinarazi du Chromiumen hainbat segurtasun‑zuzenketa integratu dituela Prisma Browser produktuetan. Eguneratze hauek memoria‑akatsak, inplementazio desegokiak eta segurtasun‑interfazeetako ahultasunak barne hartzen dituzten hainbat CVE konpontzen dituzte, 2026ko urtarrila eta otsailean identifikatutakoak. Ahultasunek osagai kritikoetan dute eragina, hala nola V8, Blink, ANGLE, libvpx eta deskargak, sarea edo kredentzial digitalen moduko funtzionalitateak, eta larritasun handiko balorazioa dute (CVSS 8.1). Prisma Browserren bertsio ahulak 144.27.7.133 bertsioaren aurreko guztiak dira, eta Palo Alto Networksek adierazi du ez dagoela ustiapen aktiboaren frogarik. Arriskuak arintzeko, gomendagarria da CVE bakoitzerako zehaztutako bertsio zuzenduetara eguneratzea, bereziki 144.27.7.133 bertsiora. Ez da ezagutzen eguneratzea baino bestelako arintze‑neurri eraginkorrik.

Eragindako baliabideak

  • Prisma Browser (< 144.27.7.133)
  • Prisma Browser (144.6.10.59) CVE-2026-0899-rako
  • Prisma Browser (144.6.10.59) CVE-2026-0900-rako
  • Prisma Browser (144.6.10.59) CVE-2026-0901-rako
  • Prisma Browser (144.6.10.59) CVE-2026-0902-rako
  • Prisma Browser (144.6.10.59) CVE-2026-0903-rako
  • Prisma Browser (144.6.10.59) CVE-2026-0904-rako
  • Prisma Browser (144.6.10.59) CVE-2026-0905-rako
  • Prisma Browser (144.6.10.59) CVE-2026-0906-rako
  • Prisma Browser (144.6.10.59) CVE-2026-0907-rako
  • Prisma Browser (144.6.10.59) CVE-2026-0908-rako
  • Prisma Browser (144.23.6.110) CVE-2026-1504-rako
  • Prisma Browser (144.27.7.133) CVE-2026-1861-rako
  • Prisma Browser (144.27.7.133) CVE-2026-1862-rako

Azterketa teknikoa

  • CVE-2026-0905: Google Chrome-n 144.0.7559.59 baino lehen sarean politikak aplikatzeko falta batek urruneko erasotzaile batek sareko log fitxategi bat eskuratzen badu, informazio sentikorra eskuratzeko aukera ematen du. Honek erabiltzailearen pribatutasuna arriskuan jar dezake eta datu delikatuak agerian utzi. Esplotazioa lortzeko, erasotzaileak jada sareko log fitxategira sarbidea izan behar du.
    • CWE-200
    • CVSS: 9.8 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2026-0906: Google Chrome-n Android-en 144.0.7559.59 baino lehen segurtasun interfazearen ahultasun batek urruneko erasotzaile bati Omnibox (URL barra) edukia faltsutzeko aukera ematen zion manipulatutako HTML orri baten bidez. Honek erabiltzaileak esteken egiazkotasunari buruz engainatzea ekar dezake. Esplotazioa lortzeko, helburuak orri gaizto batera bisitatu behar du.
    • CWE-451
    • CVSS: 9.8 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2026-0907: Google Chrome-n 144.0.7559.59 baino lehen segurtasun interfazearen ahultasun batek urruneko erasotzaile bati interfazearen ordezkapena egitea ahalbidetzen dio manipulatutako HTML orri baten bidez. Honek erabiltzaileak engainatzea eta informazio sentikorra agerian uztea ekar dezake. Ahultasun hau esplotatzeko, erasotzaileak biktima gaizto horretako edukira bisitatzera behartu behar du.
    • CWE-451
    • CVSS: 9.8 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2026-0908: Google Chrome-ren ANGLE-n "Use after free" ahultasunak, 144.0.7559.59 baino lehen, urruneko erasotzaile batek memoria usteldua esplotatzea ahalbidetu dezake, bereziki diseinatutako HTML orri baten bidez. Honek sistemaren integritatea arriskuan jar dezake. Erasotzaileak biktima gaizto orriaren kargatzera bultzatu behar du esplotazioa burutzeko.
    • CWE-416
    • CVSS: 8.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2026-1861: Google Chrome-ren libvpx-n memoria dinamikoan buffer gainditze ahultasun batek, 144.0.7559.132 baino lehen, urruneko erasotzaile batek memoria usteldua esplotatzea ahalbidetzen du, HTML orri bat diseinatuta. Potentzialeko inpaktua altua da, kode gaiztoa exekutatzeko aukera ematen duelako. Ahultasun hau esplotatzeko, erasotzaileak biktima HTML orri kaltetua bisitatzera behartu behar du.
    • CWE-787
    • CVSS: 8.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2026-0900: Google Chrome-ren V8-n inplementazio desegokia batek, 144.0.7559.59 baino lehen, urruneko erasotzaile batek objektuen usteldua esplotatzea ahalbidetzen du manipulatutako HTML orri baten bidez. Honek nabigatzailearen integritatea arriskuan jar dezake eta kode gaiztoa exekutatzeko aukera ematen du. Esplotazioa burutzeko ez dira baldintza bereziak zehazten.
    • CWE N/A
    • CVSS: 8.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2026-0899: Google Chrome-ren V8-n muga gainditzen duen memoria sarbide ahultasun batek, 144.0.7559.59 baino lehen, urruneko erasotzaile batek objektuen usteldua esplotatzea ahalbidetzen du manipulatutako HTML orri baten bidez. Honek nabigatzailearen segurtasunaren konpromisoa ekar dezake. Esplotazioa burutzeko, biktima ahultasun hau aprobetxatzeko bereziki diseinatutako web orri batera bisitatzera behartu behar da.
    • CWE-125
    • CVSS: 8.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2026-0902: Google Chrome-ren V8-n inplementazio desegokia batek, 144.0.7559.59 baino lehen, urruneko erasotzaile batek memoria irakurri muga gainditzen duen aukera ematen du manipulatutako HTML orri baten bidez. Honek informazio sentikorra agerian uztea ekar dezake. Ahultasun hau esplotatzeko, erasotzaileak biktima bereziki diseinatutako web orri batera bisitatzera behartu behar du.
    • CWE-474
    • CVSS: 8.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2026-1862: Google Chrome-ren V8-n Type Confusion ahultasun batek, 144.0.7559.132 baino lehen, urruneko erasotzaile batek memoria usteldua esplotatzea ahalbidetzen du manipulatutako HTML orri baten bidez. Honek sistemaren kontrol ez baimendua ekar dezake. Ahultasun hau esplotatzeko, erasotzaileak biktimari edukia zehatz bat bidali behar dio.
    • CWE-843
    • CVSS: 8.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2026-1504: Google Chrome-ren Background Fetch API-n inplementazio desegokia batek, 144.0.7559.110 baino lehen, urruneko erasotzaile batek iturri gurutzatuen datuak filtratzea ahalbidetzen du manipulatutako HTML orri baten bidez. Honek erabiltzailearen informazio sentikorra agerian uztea ekar dezake. Erasotzaileak biktima gaizto orri batera bisitatzera bultzatu behar du ahultasun hau esplotatzeko.
    • CWE N/A
    • CVSS: 6.5 (batazbestekoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
    • Esplotazioa: Ez da detektatu
  • CVE-2026-0901: Google Chrome-ren Blink-en inplementazio desegokia batek, 144.0.7559.59 baino lehen, urruneko erasotzaile batek interfazearen ordezkapena egitea ahalbidetzen du manipulatutako HTML orri baten bidez. Honek erabiltzaileak gaizto edukiarekin interakzioa izatea ekar dezake. Ahultasun hau esplotatzeko, erasotzaileak biktima gaizto orri batera bisitatzera behartu behar du.
    • CWE-451
    • CVSS: 5.4 (batazbestekoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
    • Esplotazioa: Ez da detektatu
  • CVE-2026-0904: Google Chrome-ren segurtasun kredentzialen interfazearen ahultasun batek, 144.0.7559.59 baino lehen, urruneko erasotzaile bati domeinuen ordezkapena egitea ahalbidetzen dio manipulatutako HTML orri baten bidez. Potentzialeko inpaktua batazbestekoa da, erabiltzailearen konfiantzan eragina izan dezakeelako webguneen egiazkotasunean. Ahultasun hau esplotatzeko, erasotzaileak biktima HTML orri zehatz batera bideratu behar du.
    • CWE-451
    • CVSS: 5.4 (batazbestekoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
    • Esplotazioa: Ez da detektatu
  • CVE-2026-0903: Google Chrome-ren Downloads-en inplementazio desegokia batek, 144.0.7559.59 baino lehen, urruneko erasotzaile bati arriskutsuak diren fitxategien babesa saihestea ahalbidetzen dio gaizto fitxategi baten bidez. Honek erabiltzailearen sisteman segurtasun gabeak diren fitxategiak deskargatzea ekar dezake. Ahultasun hau esplotatzeko ez dira baldintza bereziak behar.
    • CWE-20
    • CVSS: 5.4 (batazbestekoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
    • Esplotazioa: Ez da detektatu

Arintzea/Konponbidea

Identifikatutako segurtasun arazoak arintzeko, fabrikatzaileak Prisma Browser-a hurrengo bertsioetara eguneratzea gomendatzen du: CVE-2026-0899, CVE-2026-0900, CVE-2026-0901, CVE-2026-0902, CVE-2026-0903, CVE-2026-0904, CVE-2026-0905, CVE-2026-0906, CVE-2026-0907, eta CVE-2026-0908 ahultasunetarako, 144.6.10.59 bertsiora eguneratu; CVE-2026-1504 ahultasunetarako, 144.23.6.110 bertsiora eguneratu; eta CVE-2026-1861 eta CVE-2026-1862 ahultasunetarako, 144.27.7.133 bertsiora eguneratu. Arazo honen irtenbide alternatiboak ez dira ezagutzen.

Erreferentzia gehigarriak

Partekatu