22. August 2024
Ein schwerwiegender Fehler im Chrome-Browser von Google, der aktiv ausgenutzt wurde, wurde durch kürzlich vom Unternehmen veröffentlichte Sicherheitsupdates behoben. Es wurde festgestellt, dass es sich bei der Schwachstelle CVE-2024-7971 um ein Typverwechslungsproblem in der V8-JavaScript- und WebAssembly-Engine handelt.
Die National Vulnerability Database (NVD) des National Institute of Standards and Technology (NIST) berichtete, dass es in V8 vor Version 128.0.6613.84 zu einer Typverwechslung kam von Google Chrome könnte ein entfernter Angreifer die Heap-Beschädigung über eine speziell gestaltete HTML-Seite ausnutzen.
Am 19. August 2024 wurde der Fehler vom Microsoft Threat Intelligence Center (MSTIC) und dem Microsoft Security Response Center (MSRC) entdeckt und gemeldet. Konkrete Details zu den Angriffen, die diese Schwachstelle ausnutzten, oder die Identität der Bedrohungsakteure wurden jedoch noch nicht bekannt gegeben. Google legt großen Wert darauf, sicherzustellen, dass die meisten Nutzer ihre Browser mit dem Fix aktualisiert haben.
Google hat in einer kurzen Erklärung bestätigt, dass es sich um einen Exploit für CVE-2024-7971 handelt derzeit in freier Wildbahn aktiv. Dies ist die dritte Instanz einer Typverwechslungsschwachstelle in V8, die Google in diesem Jahr behoben hat. Die vorherigen Schwachstellen waren CVE-2024-4947 und CVE-2024-5274.
Insgesamt hat Google seit Anfang 2024 neun Zero-Day-Schwachstellen in Chrome eingeräumt, darunter drei, die auf der Pwn2Own 2024 demonstriert wurden:
- CVE-2024-0519: Speicherzugriff außerhalb der Grenzen in V8
- CVE-2024-2886: Use-after-free in WebCodecs (demonstriert bei Pwn2Own 2024)
- CVE-2024-2887: Typverwirrung in WebAssembly (demonstriert bei Pwn2Own 2024)
- CVE-2024-3159: Außerhalb der Grenzen liegender Speicherzugriff in V8 (demonstriert bei Pwn2Own 2024)
- CVE-2024-4671: Nachträgliche Verwendung in Visuals
- CVE-2024-4761: Schreiben außerhalb der Grenzen in V8
- CVE-2024-4947: Typverwechslung in V8
- CVE-2024-5274: Typverwechslung in V8
Benutzern wird empfohlen, ihren Chrome-Browser auf Version 128.0.6613.84/.85 für Windows und macOS und auf Version 128.0.6613.84 für Linux zu aktualisieren, um potenzielle Risiken zu mindern. Dies gilt auch für diejenigen, die Chromium-basierte Browser wie Microsoft Edge, Brave, Opera und Vivaldi verwenden, und Updates sollten angewendet werden, sobald sie verfügbar sind.