Търсене
Close this search box.

Google Chrome закърпи шеста уязвимост

Google пусна извънредни актуализации на сигурността за браузъра Chrome, за да отстрани уязвимост от типа нулев ден с висока степен на опасност, която се използва при атаки.

Тази поправка идва само три дни след като Google се справи с друга уязвимост от нулев ден в Chrome – CVE-2024-4671, причинена от слабост в компонента Visuals, която се използва след освобождаване.

Последната грешка се проследява като CVE-2024-4761. Това е проблем с писане извън границите, засягащ JavaScript енджина V8 на Chrome, който отговаря за изпълнението на JS код в приложението.

Проблеми със запис извън границите възникват, когато на програмата е позволено да записва данни извън определения масив или буфер, което може да доведе до неоторизиран достъп до данни, изпълнение на произволен код или срив на програмата.

„Google е наясно, че в дивата природа съществува експлойт за CVE-2024-4761“, се казва в консултацията.

Компанията отстрани недостатъка в сигурността с пускането на 124.0.6367.207/.208 за Mac/Windows и 124.0.6367.207 за Linux. Актуализациите ще бъдат разпространени сред всички потребители през следващите дни/седмици.

За потребителите на канала „Extended Stable“ (Разширена стабилна версия) поправките ще бъдат предоставени във версия 124.0.6367.207 за Mac и Windows.

Chrome се актуализира автоматично, когато е налична актуализация за сигурност, но потребителите могат да потвърдят, че използват най-новата версия, като отидат в Настройки > За Chrome, оставят актуализацията да завърши и след това кликнат върху бутона „Повторно стартиране“, за да я приложат.

Шести нулев ден, използван при атаки

Тази последна уязвимост на Google Chrome е шестият бъг от типа нулев ден, открит и отстранен в популярния уеб браузър от началото на годината.

Компанията отбелязва, че анонимен изследовател е съобщил за дефекта на 9 май 2024 г., но засега не са разкрити допълнителни подробности.

„Достъпът до подробности за бъга и връзки може да остане ограничен, докато по-голямата част от потребителите не бъдат актуализирани с поправка. Също така ще запазим ограниченията, ако грешката съществува в библиотека на трета страна, от която по подобен начин зависят други проекти, но все още не са поправени“, заявиха от Google.

Отстранените досега в Chrome грешки от типа „нулев ден“ през 2024 г. включват:

CVE-2024-0519: Високостепенна слабост в достъпа до паметта извън границите в JavaScript енджина на Chrome V8, която позволява на отдалечени атакуващи да използват повреждане на купове чрез специално създадена HTML страница, което води до неоторизиран достъп до чувствителна информация.
CVE-2024-2887: Грешка с висока степен на опасност, свързана с объркване на типове, в стандарта WebAssembly (Wasm). Тя може да доведе до експлойти за отдалечено изпълнение на код (RCE), използвайки подготвена HTML страница.
CVE-2024-2886: Уязвимост от типа use-after-free в API WebCodecs, използван от уеб приложения за кодиране и декодиране на аудио и видео. Отдалечени атакуващи я използват, за да извършват произволно четене и запис чрез подправени HTML страници, което води до отдалечено изпълнение на код.
CVE-2024-3159: Уязвимост с висока степен на опасност, причинена от четене извън границите в JavaScript енджина на Chrome V8. Отдалечени атакуващи използват този недостатък, като използват специално създадени HTML страници за достъп до данни извън заделения буфер на паметта, което води до повреждане на купчината, което може да бъде използвано за извличане на чувствителна информация.
CVE-2024-4671: Дефект с висока степен на опасност от използване след освобождаване в компонента Visuals, който обработва рендирането и показването на съдържание в браузъра.

 

Източник: e-security.bg

Подобни публикации

Време е да се справим с проблема със сигурностт...

Софтуерните компании от десетилетия се основават на отворен код. Се...
15 юни 2024

Чък Робинс: "Нашата работа е да не се проваляме"

Бившият главен изпълнителен директор на Splunk Гари Стил се ангажир...

Наследените технологии пречат на дигиталната тр...

Според ново проучване остарелите наследени технологии пречат на орг...
15 юни 2024

Европол започва лов на отделни киберпрестъпници

След впечатляващото разбиване на ботнет само преди няколко дни межд...
14 юни 2024

Засилени киберзаплахи пред Евро 2024

Евро 2024  в Германия започва след няколко часа и ще завърши след м...

Ню Йорк Таймс предупреждава фрийлансърите си за...

Ню Йорк Таймс уведоми неразкрит брой сътрудници, че част от чувстви...
14 юни 2024

YouTube преминава към инжектиране на реклами от...

Съобщава се, че YouTube вече вкарва реклами директно във видеопотоц...
14 юни 2024

Как да повишим киберсигурността на компаниите з...

Технологичният пейзаж се променя бързо, което поставя нови предизви...
Бъдете социални
Още по темата
11/06/2024

Задължителната идентификаци...

Социалните медии заемат централно място в...
11/06/2024

Google премахва кампании за...

Google разкри, че е премахнала 1320...
10/06/2024

37 уязвимости бяха закърпен...

Google започна да разпространява месечните актуализации...
Последно добавени
15/06/2024

Време е да се справим с про...

Софтуерните компании от десетилетия се основават...
15/06/2024

Чък Робинс: "Нашата работа ...

Бившият главен изпълнителен директор на Splunk...
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!