Google пусна извънредни актуализации на сигурността за браузъра Chrome, за да отстрани уязвимост от типа нулев ден с висока степен на опасност, която се използва при атаки.
Тази поправка идва само три дни след като Google се справи с друга уязвимост от нулев ден в Chrome – CVE-2024-4671, причинена от слабост в компонента Visuals, която се използва след освобождаване.
Последната грешка се проследява като CVE-2024-4761. Това е проблем с писане извън границите, засягащ JavaScript енджина V8 на Chrome, който отговаря за изпълнението на JS код в приложението.
Проблеми със запис извън границите възникват, когато на програмата е позволено да записва данни извън определения масив или буфер, което може да доведе до неоторизиран достъп до данни, изпълнение на произволен код или срив на програмата.
„Google е наясно, че в дивата природа съществува експлойт за CVE-2024-4761“, се казва в консултацията.
Компанията отстрани недостатъка в сигурността с пускането на 124.0.6367.207/.208 за Mac/Windows и 124.0.6367.207 за Linux. Актуализациите ще бъдат разпространени сред всички потребители през следващите дни/седмици.
За потребителите на канала „Extended Stable“ (Разширена стабилна версия) поправките ще бъдат предоставени във версия 124.0.6367.207 за Mac и Windows.
Chrome се актуализира автоматично, когато е налична актуализация за сигурност, но потребителите могат да потвърдят, че използват най-новата версия, като отидат в Настройки > За Chrome, оставят актуализацията да завърши и след това кликнат върху бутона „Повторно стартиране“, за да я приложат.
Тази последна уязвимост на Google Chrome е шестият бъг от типа нулев ден, открит и отстранен в популярния уеб браузър от началото на годината.
Компанията отбелязва, че анонимен изследовател е съобщил за дефекта на 9 май 2024 г., но засега не са разкрити допълнителни подробности.
„Достъпът до подробности за бъга и връзки може да остане ограничен, докато по-голямата част от потребителите не бъдат актуализирани с поправка. Също така ще запазим ограниченията, ако грешката съществува в библиотека на трета страна, от която по подобен начин зависят други проекти, но все още не са поправени“, заявиха от Google.
Отстранените досега в Chrome грешки от типа „нулев ден“ през 2024 г. включват:
CVE-2024-0519: Високостепенна слабост в достъпа до паметта извън границите в JavaScript енджина на Chrome V8, която позволява на отдалечени атакуващи да използват повреждане на купове чрез специално създадена HTML страница, което води до неоторизиран достъп до чувствителна информация.
CVE-2024-2887: Грешка с висока степен на опасност, свързана с объркване на типове, в стандарта WebAssembly (Wasm). Тя може да доведе до експлойти за отдалечено изпълнение на код (RCE), използвайки подготвена HTML страница.
CVE-2024-2886: Уязвимост от типа use-after-free в API WebCodecs, използван от уеб приложения за кодиране и декодиране на аудио и видео. Отдалечени атакуващи я използват, за да извършват произволно четене и запис чрез подправени HTML страници, което води до отдалечено изпълнение на код.
CVE-2024-3159: Уязвимост с висока степен на опасност, причинена от четене извън границите в JavaScript енджина на Chrome V8. Отдалечени атакуващи използват този недостатък, като използват специално създадени HTML страници за достъп до данни извън заделения буфер на паметта, което води до повреждане на купчината, което може да бъде използвано за извличане на чувствителна информация.
CVE-2024-4671: Дефект с висока степен на опасност от използване след освобождаване в компонента Visuals, който обработва рендирането и показването на съдържание в браузъра.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.