22 жніўня 2024 г
Недахоп высокай ступені сур'ёзнасці ў браўзеры Google Chrome, які актыўна выкарыстоўваўся ў дзікай прыродзе, быў выпраўлены ў абнаўленнях бяспекі, нядаўна выпушчаных кампаніяй. Было ўстаноўлена, што ўразлівасць CVE-2024-7971 з'яўляецца праблемай блытаніны тыпаў у механізме V8 JavaScript і WebAssembly.
Нацыянальная база дадзеных аб уразлівасцях (NVD) Нацыянальнага інстытута стандартаў і тэхналогій (NIST) паведамляе, што блытаніна тыпаў у V8 да версіі 128.0.6613.84 Google Chrome, аддалены зламыснік можа выкарыстаць пашкоджанне кучы праз спецыяльна створаную старонку HTML.
19 жніўня 2024 г. недахоп быў выяўлены Цэнтрам Microsoft Threat Intelligence Center (MSTIC) і Microsoft Security Response Center (MSRC). Аднак канкрэтныя падрабязнасці аб атаках, у якіх выкарыстоўваўся гэты недахоп, або асобах удзельнікаў пагрозы пакуль не раскрываюцца. Google надае перавагу таму, каб большасць карыстальнікаў абнавілі свае браўзеры з выпраўленнем.
Google пацвердзіў інфармацыю пра эксплойт для CVE-2024-7971 у кароткай заяве, якая у цяперашні час актыўны ў дзікай прыродзе. Гэта трэці выпадак уразлівасці блытаніны тыпу ў V8, які Google разглядаў у гэтым годзе, з папярэднімі ўразлівасцямі CVE-2024-4947 і CVE-2024-5274.
Усяго з пачатку 2024 года Google прызнаў дзевяць уразлівасцей нулявога дня ў Chrome, у тым ліку тры, прадэманстраваныя на Pwn2Own 2024:
- CVE-2024-0519: Доступ да памяці па-за межамі ў V8
- CVE-2024-2886: Use-after-free у WebCodecs (прадэманстравана на Pwn2Own 2024)
- CVE-2024-2887: Блытаніна тыпаў у WebAssembly (прадэманстравана на Pwn2Own 2024)
- CVE-2024-3159: Доступ да памяці па-за межамі ў V8 (прадэманстравана на Pwn2Own 2024)
- CVE-2024-4671: Выкарыстанне пасля бясплатнага выкарыстання ў Visuals
- CVE-2024-4761: Па-за межамі запісу ў V8
- CVE-2024-4947: Блытаніна тыпаў у V8
- CVE-2024-5274: Блытаніна тыпаў у V8
Карыстальнікам рэкамендуецца абнавіць свой браўзер Chrome да версіі 128.0.6613.84/.85 для Windows і macOS і да версіі 128.0.6613.84 для Linux, каб знізіць магчымыя рызыкі. Гэта адносіцца і да тых, хто выкарыстоўвае браўзеры на базе Chromium, такія як Microsoft Edge, Brave, Opera і Vivaldi, і абнаўленні павінны быць прыменены, як толькі яны стануць даступнымі.