22-август, 2024-жыл
Табиятта жигердүү пайдаланылган Google'дун Chrome браузериндеги олуттуу мүчүлүштүк компания жакында чыгарган коопсуздук жаңыртуулары менен оңдолду. CVE-2024-7971 аялуулугу V8 JavaScript жана WebAssembly кыймылдаткычындагы баш аламандыктын көйгөйү экени аныкталган.
Улуттук стандарттар жана технологиялар институтунун (NIST) Улуттук аялуу маалыматтар базасы (NVD) отчеттоду 128.0.6613.84 версиясына чейинки V8деги башаламандык Google Chrome боюнча, алыскы чабуулчу атайын иштелип чыккан HTML баракчасы аркылуу үймөк коррупцияны колдонушу мүмкүн.
2024-жылдын 19-августунда кемчилик Microsoft Threat Intelligence Center (MSTIC) жана Microsoft Security Response Center (MSRC) тарабынан табылган жана кабарланган. Бирок бул кемчиликти пайдаланган кол салуулар же коркунучтун катышуучуларынын ким экендиги тууралуу конкреттүү маалыматтар азырынча айтыла элек. Google көпчүлүк колдонуучулар браузерлерин оңдоо менен жаңыртканына кепилдик берүү үчүн артыкчылыктуу болуп жатат.
Google кыскача билдирүүсүндө CVE-2024-7971 үчүн эксплойт тууралуу кабардар экенин мойнуна алды учурда жапайы жаратылышта активдүү. Бул V8 түрүндөгү баш аламандыктын аялуулугунун үчүнчү инстанциясын белгилейт, аны Google быйыл чечкен, буга чейинки алсыздыктар CVE-2024-4947 жана CVE-2024-5274 болгон.
Жалпысынан Google 2024-жылдын башынан бери Chrome'дун тогуз нөл күндүк алсыздыгын моюнга алды, анын ичинде үчөө Pwn2Own 2024 көргөзмөсүндө көрсөтүлгөн:
- CVE-2024-0519: V8де эстутумдун чегинен тышкары жетүү
- CVE-2024-2886: WebCodecs'те акысыз колдонуу (Pwn2Own 2024 демонстрацияланган)
- CVE-2024-2887: WebAssembly'де башаламандыктарды териңиз (Pwn2Own 2024 демонстрацияланган)
- CVE-2024-3159: V8де чектен тышкаркы эстутумга кирүү (Pwn2Own 2024 демонстрацияланган)
- CVE-2024-4671: Visuals'те акысыз колдонуу
- CVE-2024-4761: V8де чектен тышкары жазуу
- CVE-2024-4947: V8деги башаламандыкты териңиз
- CVE-2024-5274: V8деги башаламандыкты териңиз
Колдонуучуларга мүмкүн болуучу тобокелдиктерди азайтуу үчүн Chrome браузерин Windows жана macOS үчүн 128.0.6613.84/.85 версиясына жана Linux үчүн 128.0.6613.84 версиясына жаңыртуу сунушталат. Бул Microsoft Edge, Brave, Opera жана Vivaldi сыяктуу Chromium негизиндеги браузерлерди колдонгондорго да тиешелүү жана жаңыртуулар жеткиликтүү болгондон кийин колдонулушу керек.