22 sierpnia 2024 r
Bardzo istotna luka w przeglądarce Google Chrome, która była aktywnie wykorzystywana w środowisku naturalnym, została naprawiona w niedawno opublikowanych przez firmę aktualizacjach zabezpieczeń. Stwierdzono, że luka CVE-2024-7971 wynika z pomylenia typów w silniku JavaScript i WebAssembly V8.
Krajowa baza danych o lukach w zabezpieczeniach (NVD) Narodowego Instytutu Standardów i Technologii (NIST) zgłoszona, która zawiera zamieszanie związane z typami w V8 przed wersją 128.0.6613.84 przeglądarki Google Chrome osoba atakująca zdalnie może wykorzystać uszkodzenie sterty poprzez specjalnie spreparowaną stronę HTML.
19 sierpnia 2024 r. luka została odkryta i zgłoszona przez Microsoft Threat Intelligence Center (MSTIC) i Microsoft Security Response Center (MSRC). Jednak szczegółowe informacje na temat ataków wykorzystujących tę lukę ani tożsamość cyberprzestępców nie zostały jeszcze ujawnione. Google priorytetowo traktuje tę poprawkę, aby większość użytkowników zaktualizowała swoje przeglądarki.
Google potwierdził w krótkim oświadczeniu informację o exploitie dla CVE-2024-7971, który jest obecnie aktywny na wolności. Jest to trzeci przypadek luki w zabezpieczeniach związanej z pomyleniem typów w V8, którą Google rozwiązał w tym roku. Poprzednie luki to CVE-2024-4947 i CVE-2024-5274.
W sumie od początku 2024 r. Google potwierdziło dziewięć luk typu zero-day w przeglądarce Chrome, z czego trzy zademonstrowano na konferencji Pwn2Own 2024:
- CVE-2024-0519: Dostęp do pamięci poza zakresem w wersji 8
- CVE-2024-2886: Możliwość użycia po bezpłatnym użyciu w kodekach internetowych (pokazana na Pwn2Own 2024)
- CVE-2024-2887: Pomyłka typów w WebAssembly (pokazana na Pwn2Own 2024)
- CVE-2024-3159: Dostęp do pamięci poza granicami w wersji 8 (zademonstrowany na konferencji Pwn2Own 2024)
- CVE-2024-4671: Do wykorzystania po bezpłatnej wersji wizualnej
- CVE-2024-4761: Zapis poza zakresem w wersji 8
- CVE-2024-4947: Pomyłka z typem w wersji 8
- CVE-2024-5274: Pomyłka z typem w wersji 8
Zaleca się, aby użytkownicy zaktualizowali swoją przeglądarkę Chrome do wersji 128.0.6613.84/.85 dla Windows i macOS oraz wersji 128.0.6613.84 dla Linuksa, aby zminimalizować potencjalne ryzyko. Dotyczy to również osób korzystających z przeglądarek opartych na Chromium, takich jak Microsoft Edge, Brave, Opera i Vivaldi, a aktualizacje należy instalować, gdy tylko staną się dostępne.