CVE-2024-7971: Kuinka Googlen uusin Chrome-päivitys suojaa sinua aktiivisilta hyväksikäytöiltä

Päivitetty August 22, 2024 2 minuutteja luetaan

CVE-2024-7971: Kuinka Googlen uusin Chrome-päivitys suojaa sinua aktiivisilta hyväksikäytöiltä
22. elokuuta 2024

Googlen Chrome-selaimen vakava virhe, jota on aktiivisesti hyödynnetty luonnossa, on korjattu yhtiön äskettäin julkaisemilla tietoturvapäivityksillä. Haavoittuvuuden, CVE-2024-7971, havaittiin olevan tyyppisekaannusongelma V8 JavaScript- ja WebAssembly-moottorissa.

National Institute of Standards and Technologyn (NIST) National Vulnerability Database (NVD) raportoi, että se aiheuttaa sekaannusta V8:ssa ennen versiota 128.0.6613.84. Google Chromen etähyökkääjä voi hyödyntää kasakorruptiota erityisesti laaditun HTML-sivun kautta.

  1. elokuuta 2024 Microsoft Threat Intelligence Center (MSTIC) ja Microsoft Security Response Center (MSRC) havaitsivat virheen ja ilmoittivat siitä. Tarkkoja yksityiskohtia tätä puutetta hyväksikäynneistä hyökkäyksistä tai uhkaavien toimijoiden henkilöllisyydestä ei kuitenkaan ole vielä paljastettu. Google pyrkii varmistamaan, että useimmat käyttäjät ovat päivittäneet selaimensa korjauksella.

Google on tunnustanut tietoisuuden CVE-2024-7971:n hyväksikäytöstä lyhyessä lausunnossa, joka on tällä hetkellä aktiivisesti luonnossa. Tämä on kolmas V8:n tyyppihaavoittuvuus, jonka Google on korjannut tänä vuonna. Aiemmat haavoittuvuudet olivat CVE-2024-4947 ja CVE-2024-5274.

Yhteensä Google on myöntänyt yhdeksän nollapäivän haavoittuvuutta Chromessa vuoden 2024 alusta lähtien, joista kolme on esitelty Pwn2Own 2024:ssä:

- CVE-2024-0519: Rajojen ulkopuolinen muistin käyttö V8:ssa

- CVE-2024-2886: Käyttö-after-free WebCodecsissa (esitetty Pwn2Own 2024:ssä)

- CVE-2024-2887: Tyyppihäiriö WebAssemblyssa (esitetty Pwn2Own 2024:ssä)

- CVE-2024-3159: Rajojen ulkopuolinen muistin käyttö V8:ssa (esitetty Pwn2Own 2024:ssä)

- CVE-2024-4671: Jälkikäyttö ilmaiseksi Visualsissa

- CVE-2024-4761: Rajojen ulkopuolinen kirjoitus V8:ssa

- CVE-2024-4947: Tyyppihäiriö V8:ssa

- CVE-2024-5274: Tyyppihäiriö V8:ssa

On suositeltavaa, että käyttäjät päivittävät Chrome-selaimensa versioon 128.0.6613.84/.85 Windowsille ja macOS:lle ja versioon 128.0.6613.84 Linuxille mahdollisten riskien vähentämiseksi. Tämä koskee myös niitä, jotka käyttävät Chromium-pohjaisia ​​selaimia, kuten Microsoft Edge, Brave, Opera ja Vivaldi, ja päivitykset tulee ottaa käyttöön heti, kun ne tulevat saataville.