22 agosto 2024
Un difetto di elevata gravità nel browser Chrome di Google, che è stato attivamente sfruttato in natura, è stato corretto dagli aggiornamenti di sicurezza recentemente rilasciati dall'azienda. È stato riscontrato che la vulnerabilità CVE-2024-7971 è un problema di confusione di tipi nel motore JavaScript V8 e WebAssembly.
Database nazionale delle vulnerabilità (NVD) del National Institute of Standards and Technology (NIST) segnalato che crea confusione di tipi nella V8 precedente alla versione 128.0.6613.84 di Google Chrome, un utente malintenzionato remoto potrebbe sfruttare la corruzione dell'heap tramite una pagina HTML appositamente predisposta.
Il 19 agosto 2024, la falla è stata scoperta e segnalata dal Microsoft Threat Intelligence Center (MSTIC) e dal Microsoft Security Response Center (MSRC). Tuttavia, i dettagli specifici sugli attacchi che hanno sfruttato questa falla o le identità degli autori delle minacce non sono ancora stati resi noti. Google sta dando la priorità per garantire che la maggior parte degli utenti abbia aggiornato il proprio browser con la correzione.
Google ha riconosciuto di essere a conoscenza di un exploit per CVE-2024-7971 in una breve dichiarazione, che è attualmente attivo allo stato selvatico. Questo segna il terzo caso di vulnerabilità legata alla confusione di tipo nella V8 che Google ha affrontato quest'anno, dopo le precedenti vulnerabilità CVE-2024-4947 e CVE-2024-5274.
In totale, Google ha riconosciuto nove vulnerabilità zero-day in Chrome dall'inizio del 2024, di cui tre dimostrate al Pwn2Own 2024:
- CVE-2024-0519: Accesso alla memoria fuori dai limiti nella V8
- CVE-2024-2886: Use-after-free in WebCodec (dimostrato a Pwn2Own 2024)
- CVE-2024-2887: Confusione dei tipi in WebAssembly (dimostrata a Pwn2Own 2024)
- CVE-2024-3159: Accesso alla memoria fuori dai limiti nella V8 (dimostrato a Pwn2Own 2024)
- CVE-2024-4671: Utilizzare dopo-libero in Immagini
- CVE-2024-4761: Scrittura fuori limite in V8
- CVE-2024-4947: Confusione di tipi nella V8
- CVE-2024-5274: Confusione di tipi nella V8
Si consiglia agli utenti di aggiornare il proprio browser Chrome alla versione 128.0.6613.84/.85 per Windows e macOS e alla versione 128.0.6613.84 per Linux per mitigare eventuali rischi. Questo vale anche per coloro che utilizzano browser basati su Chromium come Microsoft Edge, Brave, Opera e Vivaldi e gli aggiornamenti dovrebbero essere applicati non appena diventano disponibili.