Търсене
Close this search box.

Google пусна актуализация на сигурността за браузъра Chrome, за да отстрани петата уязвимост от типа „нулев ден“, използвана в дивата среда от началото на годината.

Проблемът с висока степен на опасност, проследен като CVE-2024-4671, е уязвимост „потребител след свобода“ в компонента Visuals, който обработва визуализирането и показването на съдържание в браузъра.

CVE-2024-4671 е открита и докладвана на Google от анонимен изследовател, а компанията разкрива, че тя вероятно се експлоатира активно.

„Google е наясно, че в дивата природа съществува експлойт за CVE-2024-4671“, се казва в съобщението, без да се предоставя допълнителна информация.

Употребата след освобождаване на паметта (Use after-free flaws) е недостатък в сигурността, който се проявява, когато програмата продължава да използва указател, след като паметта, към която той сочи, е освободена, след приключване на законните ѝ операции върху тази област.

Тъй като освободената памет сега може да съдържа различни данни или да се използва от друг софтуер или компоненти, достъпът до нея може да доведе до изтичане на данни, изпълнение на код или срив.

Google се справи с проблема с пускането на 124.0.6367.201/.202 за Mac/Windows и 124.0.6367.201 за Linux, като актуализациите ще се разпространяват през следващите дни/седмици.

За потребителите на канала „Extended Stable“ поправките ще бъдат налични във версия 124.0.6367.201 за Mac и Windows, която също ще бъде разпространена по-късно.

Chrome се актуализира автоматично, когато е налична актуализация за сигурност, но потребителите могат да потвърдят, че използват най-новата версия, като отидат в Настройки > За Chrome, оставят актуализацията да приключи и след това кликнат върху бутона „Повторно стартиране“, за да я приложат.

 

Последният адресиран недостатък в Google Chrome е петият за тази година, като три други са открити по време на хакерското състезание Pwn2Own през март 2024 г. във Ванкувър.

Пълният списък на уязвимостите от нулевия ден в Chrome, отстранени от началото на 2024 г., включва и следните:

  • CVE-2024-0519: Слабост с висока степен на опасност за достъп извън границите на паметта в JavaScript енджина на Chrome V8, която позволява на отдалечени атакуващи да се възползват от повреждане на купове чрез специално създадена HTML страница, което води до неоторизиран достъп до чувствителна информация.
  • CVE-2024-2887: Грешка с висока степен на опасност, свързана с объркване на типове, в стандарта WebAssembly (Wasm).Тя може да доведе до експлойти за отдалечено изпълнение на код (RCE), използвайки подготвена HTML страница.
  • CVE-2024-2886: Уязвимост от типа use-after-free в API WebCodecs, използван от уеб приложения за кодиране и декодиране на аудио и видео. Отдалечени атакуващи я използват, за да извършват произволно четене и запис чрез подправени HTML страници, което води до отдалечено изпълнение на код.
  • CVE-2024-3159: Уязвимост с висока степен на опасност, причинена от четене извън границите в JavaScript енджина на Chrome V8. Отдалечени атакуващи използват този недостатък, като използват специално създадени HTML страници за достъп до данни извън заделения буфер на паметта, което води до повреждане на купчината, което може да бъде използвано за извличане на чувствителна информация.

 

Източник: e-security.bg

Подобни публикации

4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
3 октомври 2024

Пробив с нулев ден в Rackspace Sparks Vendor B...

Корпоративният хост за облачни услуги Rackspace е бил хакнат чрез н...
3 октомври 2024

Рекордна DDoS атака достигна 3,8 Tbps и 2,14 м...

Фирмата за уеб производителност и сигурност Cloudflare наскоро смек...
Бъдете социални
Още по темата
19/09/2024

Google пусна Chrome 129 с к...

Във вторник Google обяви пускането на...
16/09/2024

Google прави големи разходи...

Технологичният гигант сключи нова сделка за ...
13/09/2024

Модел за ИИ на Google е под...

Регулаторите на Европейския съюз съобщиха в...
Последно добавени
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
04/10/2024

Холандското правителство об...

Министърът на правосъдието заяви пред депутатите,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!