По-малко от седмица след пускането на Chrome 128 в стабилния канал за отстраняване на уязвимост от типа „нулев ден“ Google предупреждава, че друг бъг, отстранен с актуализацията, се използва активно.
Проблемът, проследен като CVE-2024-7965 (CVSS оценка 8,8), се описва като неподходяща имплементация във V8 JavaScript енджина, която позволява на отдалечен атакуващ да използва повреда на купове чрез изработени HTML страници.
По същество, ако жертвата посети компрометирана или злонамерена уебстраница, уязвимостта може да позволи на нападателя да изпълни код или да получи достъп до чувствителна информация.
Google отбелязва в актуализираната си консултация, че за експлоатация на дефекта в сигурността е съобщено след пускането на актуализацията на браузъра, но не изяснява дали недостатъкът е бил използван като нулев ден.
CVE-2024-7965 засяга версиите на Chrome преди версия 128.0.6613.84, която беше пусната миналата седмица с кръпки за 37 уязвимости, включително CVE-2024-7971 – грешка в объркването на типа във V8, която беше експлоатирана като нулев ден.
В понеделник американската агенция за киберсигурност CISA добави нулевия ден към своя каталог с известни експлоатирани уязвимости (Known Exploited Vulnerabilities – KEV), като предупреди, че той може да засегне уеб браузъри, които използват Chromium, като Chrome, Edge и Opera.
CISA заявява, че има данни за експлоатиране на CVE-2024-7971 в природата, без да предоставя подробности за наблюдаваните атаки.
„Този тип уязвимости са чести вектори на атаки за злонамерени хакери и представляват значителен риск за федералното предприятие“, предупреждава CISA.
С добавянето на дефекта в KEV федералните агенции имат срок до 16 септември да идентифицират уязвимите екземпляри в своите среди и да приложат наличните кръпки, както повелява Обвързващата оперативна директива (BOD) 22-01.
Въпреки че BOD 22-01 се отнася само за федералните агенции, на всички организации се препоръчва да прилагат приоритетно кръпки за уязвимостите, изброени в каталога на KEV.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.