22 Αυγούστου 2024
Ένα υψηλής σοβαρότητας ελάττωμα στο πρόγραμμα περιήγησης Chrome της Google, το οποίο έχει αξιοποιηθεί ενεργά στη φύση, επιδιορθώθηκε με ενημερώσεις ασφαλείας που κυκλοφόρησε πρόσφατα η εταιρεία. Η ευπάθεια, CVE-2024-7971, διαπιστώθηκε ότι αποτελεί πρόβλημα σύγχυσης τύπου στον κινητήρα V8 JavaScript και WebAssembly.
Εθνική βάση δεδομένων ευπάθειας (NVD) του Εθνικού Ινστιτούτου Προτύπων και Τεχνολογίας (NIST) αναφέρεται που πληκτρολογεί σύγχυση στο V8 πριν από την έκδοση 128.0.6613.84 του Google Chrome, ένας απομακρυσμένος εισβολέας θα μπορούσε να εκμεταλλευτεί τη διαφθορά στο σωρό μέσω μιας ειδικά διαμορφωμένης σελίδας HTML.
Στις 19 Αυγούστου 2024, το ελάττωμα ανακαλύφθηκε και αναφέρθηκε από το Microsoft Threat Intelligence Center (MSTIC) και το Microsoft Security Response Center (MSRC). Ωστόσο, συγκεκριμένες λεπτομέρειες σχετικά με τις επιθέσεις που εκμεταλλεύτηκαν αυτό το ελάττωμα ή την ταυτότητα των παραγόντων της απειλής δεν έχουν ακόμη αποκαλυφθεί. Η Google δίνει προτεραιότητα στο να διασφαλίσει ότι οι περισσότεροι χρήστες έχουν ενημερώσει τα προγράμματα περιήγησής τους με την επιδιόρθωση.
Η Google έχει αναγνωρίσει την επίγνωση ενός exploit για το CVE-2024-7971 σε μια σύντομη δήλωση, η οποία είναι αυτή τη στιγμή δραστηριοποιείται στην άγρια φύση. Αυτό σηματοδοτεί την τρίτη περίπτωση ευπάθειας σύγχυσης τύπου στο V8 που έχει αντιμετωπίσει η Google φέτος, με τα προηγούμενα τρωτά σημεία να είναι τα CVE-2024-4947 και CVE-2024-5274.
Συνολικά, η Google έχει αναγνωρίσει εννέα τρωτά σημεία zero-day στο Chrome από τις αρχές του 2024, συμπεριλαμβανομένων τριών που παρουσιάστηκαν στο Pwn2Own 2024:
- CVE-2024-0519: Πρόσβαση στη μνήμη εκτός ορίων στο V8
- CVE-2024-2886: Χρήση-μετά-δωρεάν σε WebCodecs (που παρουσιάστηκε στο Pwn2Own 2024)
- CVE-2024-2887: Σύγχυση τύπων στο WebAssembly (που παρουσιάστηκε στο Pwn2Own 2024)
- CVE-2024-3159: Πρόσβαση στη μνήμη εκτός ορίων σε V8 (που επιδείχθηκε στο Pwn2Own 2024)
- CVE-2024-4671: Χρήση-μετά-δωρεάν σε Visuals
- CVE-2024-4761: Εγγραφή εκτός ορίων σε V8
- CVE-2024-4947: Σύγχυση τύπων στο V8
- CVE-2024-5274: Σύγχυση τύπων στο V8
Συνιστάται στους χρήστες να ενημερώνουν το πρόγραμμα περιήγησής τους Chrome στην έκδοση 128.0.6613.84/.85 για Windows και macOS και στην έκδοση 128.0.6613.84 για Linux για να μετριάσουν τυχόν πιθανούς κινδύνους. Αυτό ισχύει και για όσους χρησιμοποιούν προγράμματα περιήγησης που βασίζονται στο Chromium, όπως τα Microsoft Edge, Brave, Opera και Vivaldi, και οι ενημερώσεις θα πρέπει να εφαρμόζονται μόλις γίνουν διαθέσιμες.