Agosto 22, 2024
Ang isang mataas na kalubhaan na depekto sa Chrome browser ng Google, na aktibong pinagsamantalahan sa ligaw, ay naayos ng mga update sa seguridad na inilabas kamakailan ng kumpanya. Ang kahinaan, CVE-2024-7971, ay natagpuan na isang uri ng pagkalito na isyu sa V8 JavaScript at WebAssembly engine.
National Institute of Standards and Technology's (NIST) National Vulnerability Database (NVD) iniulat na nag-type ng kalituhan sa V8 bago ang bersyon 128.0.6613.84 ng Google Chrome, maaaring samantalahin ng isang malayuang umaatake ang korapsyon sa pamamagitan ng isang espesyal na ginawang HTML na pahina.
Noong Agosto 19, 2024, ang kapintasan ay natuklasan at iniulat ng Microsoft Threat Intelligence Center (MSTIC) at Microsoft Security Response Center (MSRC). Gayunpaman, ang mga partikular na detalye tungkol sa mga pag-atake na nagsamantala sa kapintasan na ito o ang mga pagkakakilanlan ng mga aktor ng pagbabanta ay hindi pa nabubunyag. Inuuna ng Google na tiyaking na-update ng karamihan sa mga user ang kanilang mga browser sa pagsasaayos.
Ang Google ay kinilala ang kamalayan ng isang pagsasamantala para sa CVE-2024-7971 sa isang maikling pahayag, na kasalukuyang aktibo sa ligaw. Ito ay minarkahan ang ikatlong pagkakataon ng uri ng pagkalito na kahinaan sa V8 na tinugunan ng Google ngayong taon, na ang mga dating kahinaan ay CVE-2024-4947 at CVE-2024-5274.
Sa kabuuan, ang Google ay gumawa ng mga pagkilala sa siyam na zero-day na kahinaan sa Chrome mula noong simula ng 2024, kabilang ang tatlong ipinakita sa Pwn2Own 2024:
- CVE-2024-0519: Out-of-bounds memory access sa V8
- CVE-2024-2886: Use-after-free sa WebCodecs (ipinakita sa Pwn2Own 2024)
- CVE-2024-2887: Uri ng kalituhan sa WebAssembly (ipinakita sa Pwn2Own 2024)
- CVE-2024-3159: Out-of-bounds memory access sa V8 (ipinakita sa Pwn2Own 2024)
- CVE-2024-4671: Gamitin-pagkatapos-libre sa Mga Visual
- CVE-2024-4761: Out-of-bounds magsulat sa V8
- CVE-2024-4947: Uri ng kalituhan sa V8
- CVE-2024-5274: Uri ng kalituhan sa V8
Inirerekomenda na i-update ng mga user ang kanilang Chrome browser sa bersyon 128.0.6613.84/.85 para sa Windows at macOS, at bersyon 128.0.6613.84 para sa Linux upang mabawasan ang anumang potensyal na panganib. Nalalapat ito sa mga gumagamit ng mga browser na nakabatay sa Chromium gaya ng Microsoft Edge, Brave, Opera, at Vivaldi, at dapat ilapat ang mga update sa sandaling maging available ang mga ito.