22 августа 2024 г.
Серьезная уязвимость в браузере Google Chrome, которая активно использовалась в реальных условиях, была исправлена в обновлениях безопасности, недавно выпущенных компанией. Уязвимость CVE-2024-7971 оказалась причиной путаницы типов в движке JavaScript V8 и WebAssembly.
Национальная база данных уязвимостей (NVD) Национального института стандартов и технологий (NIST) сообщила, что путаница типов в V8 до версии 128.0.6613.84 Google Chrome удаленный злоумышленник может воспользоваться повреждением кучи с помощью специально созданной HTML-страницы.
19 августа 2024 г. уязвимость была обнаружена и о ней сообщили Центр анализа угроз Microsoft (MSTIC) и Центр реагирования безопасности Microsoft (MSRC). Однако конкретные подробности об атаках, в которых использовалась эта уязвимость, или личности злоумышленников пока не разглашаются. Google уделяет первоочередное внимание тому, чтобы большинство пользователей обновили свои браузеры с помощью исправления.
Google признал осведомленность об эксплойте для CVE-2024-7971 в кратком заявлении, которое в настоящее время активен в дикой природе. Это третий случай уязвимости, связанной с путаницей типов, в V8, которую Google устранил в этом году. Предыдущими уязвимостями были CVE-2024-4947 и CVE-2024-5274.
В общей сложности Google подтвердил наличие девяти уязвимостей нулевого дня в Chrome с начала 2024 года, в том числе три, продемонстрированные на Pwn2Own 2024:
- CVE-2024-0519: Доступ к памяти за пределами границ в версии 8.
- CVE-2024-2886: Использование после освобождения в WebCodecs (продемонстрировано на Pwn2Own 2024).
- CVE-2024-2887: Путаница типов в WebAssembly (продемонстрировано на Pwn2Own 2024).
- CVE-2024-3159: Доступ к памяти за пределами границ в V8 (продемонстрировано на Pwn2Own 2024).
- CVE-2024-4671: Использование после освобождения в визуальных элементах.
- CVE-2024-4761: Запись за пределами допустимого диапазона в V8.
- CVE-2024-4947: Путаница типов в V8.
- CVE-2024-5274: Путаница типов в V8.
Пользователям рекомендуется обновить свой браузер Chrome до версии 128.0.6613.84/.85 для Windows и macOS и до версии 128.0.6613.84 для Linux, чтобы снизить любые потенциальные риски. Это также относится к тем, кто использует браузеры на базе Chromium, такие как Microsoft Edge, Brave, Opera и Vivaldi, и обновления следует устанавливать, как только они становятся доступными.