22 օգոստոսի, 2024 թ
Google-ի Chrome բրաուզերի բարձր խստության թերությունը, որն ակտիվորեն օգտագործվում էր վայրի բնության մեջ, շտկվել է ընկերության կողմից վերջերս թողարկված անվտանգության թարմացումներով: Պարզվել է, որ CVE-2024-7971 խոցելիությունը V8 JavaScript-ի և WebAssembly շարժիչի տիպի շփոթության խնդիր է:
Ստանդարտների և տեխնոլոգիաների ազգային ինստիտուտի (NIST) ազգային խոցելիության տվյալների շտեմարան (NVD) հաղորդվում է, որը շփոթում է V8-ում մինչև 128.0.6613.84 տարբերակը: Google Chrome-ի հեռավոր հարձակվողը կարող է օգտագործել կույտային կոռուպցիան հատուկ մշակված HTML էջի միջոցով:
2024 թվականի օգոստոսի 19-ին թերությունը հայտնաբերվել և զեկուցվել է Microsoft-ի սպառնալիքների հետախուզական կենտրոնի (MSTIC) և Microsoft Security Response Center-ի (MSRC) կողմից։ Այնուամենայնիվ, այս թերությունն օգտագործած հարձակումների մասին կոնկրետ մանրամասներ կամ սպառնալիքի դերակատարների ինքնությունը դեռևս չեն բացահայտվել։ Google-ը առաջնահերթություն է տալիս ապահովելու, որ օգտատերերի մեծամասնությունը թարմացրել է իրենց բրաուզերները շտկումով:
Google-ը ընդունել է CVE-2024-7971-ի շահագործման մասին իրազեկվածությունը հակիրճ հայտարարությամբ, որը. ներկայումս ակտիվ է վայրի բնության մեջ: Սա V8-ում տիպի շփոթության խոցելիության երրորդ դեպքն է, որին Google-ն անդրադարձել է այս տարի, ընդ որում նախորդ խոցելիությունները եղել են CVE-2024-4947 և CVE-2024-5274:
Ընդհանուր առմամբ, Google-ը 2024 թվականի սկզբից հաստատել է Chrome-ի ինը զրոյական խոցելիության մասին, այդ թվում՝ երեքը ցուցադրված Pwn2Own 2024-ում.
- CVE-2024-0519: Սահմաններից դուրս հիշողության հասանելիություն V8-ում
- CVE-2024-2886: Անվճար օգտագործում WebCodecs-ում (ցուցադրված է Pwn2Own 2024-ում)
- CVE-2024-2887: Type confusion in WebAssembly (ցուցադրված է Pwn2Own 2024-ում)
- CVE-2024-3159: Սահմաններից դուրս հիշողության հասանելիություն V8-ում (ցուցադրված է Pwn2Own 2024-ում)
- CVE-2024-4671: Վիզուալներում օգտագործելն ազատվելուց հետո
- CVE-2024-4761: Սահմաններից դուրս գրել V8-ում
- CVE-2024-4947: Մուտքագրեք շփոթություն V8-ում
- CVE-2024-5274: Մուտքագրեք շփոթություն V8-ում
Առաջարկվում է, որ օգտատերերը թարմացնեն իրենց Chrome բրաուզերը Windows-ի և macOS-ի համար 128.0.6613.84/.85 տարբերակի և Linux-ի համար՝ 128.0.6613.84 տարբերակի՝ հնարավոր ռիսկերը մեղմելու համար: Սա վերաբերում է նաև նրանց, ովքեր օգտագործում են Chromium-ի վրա հիմնված բրաուզերներ, ինչպիսիք են Microsoft Edge-ը, Brave-ը, Opera-ն և Vivaldi-ն, և թարմացումները պետք է կիրառվեն հենց դրանք հասանելի դառնան: