Търсене
Close this search box.

Google пусна извънредни актуализации на сигурността за браузъра Chrome, за да отстрани уязвимост от типа нулев ден с висока степен на опасност, която се използва при атаки.

Тази поправка идва само три дни след като Google се справи с друга уязвимост от нулев ден в Chrome – CVE-2024-4671, причинена от слабост в компонента Visuals, която се използва след освобождаване.

Последната грешка се проследява като CVE-2024-4761. Това е проблем с писане извън границите, засягащ JavaScript енджина V8 на Chrome, който отговаря за изпълнението на JS код в приложението.

Проблеми със запис извън границите възникват, когато на програмата е позволено да записва данни извън определения масив или буфер, което може да доведе до неоторизиран достъп до данни, изпълнение на произволен код или срив на програмата.

„Google е наясно, че в дивата природа съществува експлойт за CVE-2024-4761“, се казва в консултацията.

Компанията отстрани недостатъка в сигурността с пускането на 124.0.6367.207/.208 за Mac/Windows и 124.0.6367.207 за Linux. Актуализациите ще бъдат разпространени сред всички потребители през следващите дни/седмици.

За потребителите на канала „Extended Stable“ (Разширена стабилна версия) поправките ще бъдат предоставени във версия 124.0.6367.207 за Mac и Windows.

Chrome се актуализира автоматично, когато е налична актуализация за сигурност, но потребителите могат да потвърдят, че използват най-новата версия, като отидат в Настройки > За Chrome, оставят актуализацията да завърши и след това кликнат върху бутона „Повторно стартиране“, за да я приложат.

Шести нулев ден, използван при атаки

Тази последна уязвимост на Google Chrome е шестият бъг от типа нулев ден, открит и отстранен в популярния уеб браузър от началото на годината.

Компанията отбелязва, че анонимен изследовател е съобщил за дефекта на 9 май 2024 г., но засега не са разкрити допълнителни подробности.

„Достъпът до подробности за бъга и връзки може да остане ограничен, докато по-голямата част от потребителите не бъдат актуализирани с поправка. Също така ще запазим ограниченията, ако грешката съществува в библиотека на трета страна, от която по подобен начин зависят други проекти, но все още не са поправени“, заявиха от Google.

Отстранените досега в Chrome грешки от типа „нулев ден“ през 2024 г. включват:

CVE-2024-0519: Високостепенна слабост в достъпа до паметта извън границите в JavaScript енджина на Chrome V8, която позволява на отдалечени атакуващи да използват повреждане на купове чрез специално създадена HTML страница, което води до неоторизиран достъп до чувствителна информация.
CVE-2024-2887: Грешка с висока степен на опасност, свързана с объркване на типове, в стандарта WebAssembly (Wasm). Тя може да доведе до експлойти за отдалечено изпълнение на код (RCE), използвайки подготвена HTML страница.
CVE-2024-2886: Уязвимост от типа use-after-free в API WebCodecs, използван от уеб приложения за кодиране и декодиране на аудио и видео. Отдалечени атакуващи я използват, за да извършват произволно четене и запис чрез подправени HTML страници, което води до отдалечено изпълнение на код.
CVE-2024-3159: Уязвимост с висока степен на опасност, причинена от четене извън границите в JavaScript енджина на Chrome V8. Отдалечени атакуващи използват този недостатък, като използват специално създадени HTML страници за достъп до данни извън заделения буфер на паметта, което води до повреждане на купчината, което може да бъде използвано за извличане на чувствителна информация.
CVE-2024-4671: Дефект с висока степен на опасност от използване след освобождаване в компонента Visuals, който обработва рендирането и показването на съдържание в браузъра.

 

Източник: e-security.bg

Подобни публикации

9 декември 2024

QNAP поправя уязвимостите, експлоатирани в Pwn2Own

През уикенда тайванската компания QNAP Systems обяви кръпки за множ...
9 декември 2024

Производител на медицински изделия претърпя ата...

В понеделник компанията за медицинска апаратура Artivion оповести а...
9 декември 2024

ЕС отправя спешно запитване към TikTok

Европейският съюз съобщи в петък, че е изпратил на TikTok спешно ис...
9 декември 2024

QR кодовете заобикалят изолацията на браузъра

Mandiant е идентифицирала нов метод за заобикаляне на технологията ...
9 декември 2024

SonicWall поправя 6 уязвимости в Secure Access ...

В края на миналата седмица SonicWall обяви пачове за множество уязв...
8 декември 2024

Тексаски тийнейджър е арестуван за хакове на те...

Преследването на членовете на Scattered Spider, киберпрестъпната гр...
Бъдете социални
Още по темата
26/11/2024

Северна Корея разполага фал...

Според Microsoft схемата за фалшиви ИТ...
21/11/2024

DoJ изисква от Google да п...

В потвърждение на по-ранни съобщения Министерството...
18/11/2024

Фалшиви реклами на Bitwarde...

Фалшиви реклами на мениджъра на пароли...
Последно добавени
09/12/2024

QNAP поправя уязвимостите, ...

През уикенда тайванската компания QNAP Systems...
09/12/2024

Производител на медицински ...

В понеделник компанията за медицинска апаратура...
09/12/2024

ЕС отправя спешно запитване...

Европейският съюз съобщи в петък, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!