В сряда Google обяви пускането на Chrome 128 в стабилния канал с поправки за 38 уязвимости, включително 20, докладвани от външни изследователи.
Седем от докладваните от външни източници уязвимости са с висока степен на опасност, а една от тях е била използвана в дивата природа като нулев ден.
Проследен като CVE-2024-7971 и открит и докладван от Microsoft, експлоатираният дефект в сигурността е описан като объркване на типа в JavaScript енджина V8.
Въпреки че Google не предоставя конкретни подробности за проблема, уязвимостите, свързани с объркване на типа, са недостатъци в сигурността на паметта, които могат да доведат до сривове, неочаквано поведение и отдалечено изпълнение на код.
„Google е наясно, че в дивата природа съществува експлойт за CVE-2024-7971“, отбелязва интернет гигантът в своята консултация, без да споделя информация и за наблюдаваната експлоатация.
В Chrome 128 са разрешени пет други грешки с висока степен на сигурност на паметта, включително use-after-free в Passwords, out-of-bounds memory access в Skia, heap buffer overflow във Fonts, use-after-free в Autofill и type confusion във V8.
Трета уязвимост с висока степен на опасност във V8, а именно неподходяща имплементация, също беше отстранена с последната версия на Chrome.
В актуализацията на браузъра са отстранени и девет уязвимости със средна степен на опасност, включително множество проблеми с неподходяща имплементация и грешки с недостатъчно валидиране на данни, както и четири дефекта с ниска степен на опасност, свързани с неподходяща имплементация.
Интернет гигантът съобщава, че е раздал 95 000 долара под формата на възнаграждения за грешки на докладвалите изследователи, като най-високото възнаграждение – в размер на 36 000 долара – е било изплатено на анонимен изследовател, открил грешката use-after-free в Passwords (CVE-2024-7964).
Google все още не е определила сумите, които ще бъдат изплатени за няколко уязвимости, така че крайната сума може да бъде много по-висока.
Последната итерация на Chrome вече се разпространява като версия 128.0.6613.84 за Linux и като версии 128.0.6613.84/.85 за macOS и Windows. На потребителите се препоръчва да актуализират браузърите си възможно най-скоро.
CVE-2024-7971 е шестият нулев ден в Chrome, използван при атаки, който Google е разрешил тази година. Четири други уязвимости от типа нулев ден бяха поправени, след като бяха демонстрирани на хакерски състезания.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.