22 augusti 2024
Ett allvarligt fel i Googles webbläsare Chrome, som aktivt har utnyttjats i naturen, har åtgärdats av säkerhetsuppdateringar som nyligen släppts av företaget. Sårbarheten, CVE-2024-7971, visade sig vara ett typförvirringsproblem i V8 JavaScript och WebAssembly-motorn.
National Institute of Standards and Technologys (NIST) National Vulnerability Database (NVD) rapporterades den typ av förvirring i V8 före version 128.0.6613.84 i Google Chrome kan en fjärrangripare utnyttja högkorruption genom en specialgjord HTML-sida.
Den 19 augusti 2024 upptäcktes och rapporterades felet av Microsoft Threat Intelligence Center (MSTIC) och Microsoft Security Response Center (MSRC). Men specifika detaljer om attackerna som utnyttjade denna brist eller identiteten på hotaktörerna har inte avslöjats ännu. Google prioriterar för att säkerställa att de flesta användare har uppdaterat sina webbläsare med korrigeringen.
Google har erkänt medvetenheten om en exploit för CVE-2024-7971 i ett kort uttalande, som är för närvarande aktiv i det vilda. Detta markerar den tredje instansen av typförvirringssårbarhet i V8 som Google har åtgärdat i år, med de tidigare sårbarheterna CVE-2024-4947 och CVE-2024-5274.
Totalt har Google bekräftat nio nolldagssårbarheter i Chrome sedan början av 2024, inklusive tre demonstrerade på Pwn2Own 2024:
- CVE-2024-0519: Out-of-bounds minnesåtkomst i V8
- CVE-2024-2886: Använd-efter-fri i WebCodecs (demonstrerad på Pwn2Own 2024)
- CVE-2024-2887: Typförvirring i WebAssembly (demonstrerad på Pwn2Own 2024)
- CVE-2024-3159: Out-of-bounds minnesåtkomst i V8 (demonstrerad på Pwn2Own 2024)
- CVE-2024-4671: Använd-efter-fri i Visuals
- CVE-2024-4761: Out-of-bounds skriv i V8
- CVE-2024-4947: Typförvirring i V8
- CVE-2024-5274: Typförvirring i V8
Det rekommenderas att användare uppdaterar sin Chrome-webbläsare till version 128.0.6613.84/.85 för Windows och macOS och version 128.0.6613.84 för Linux för att minska eventuella risker. Detta gäller även de som använder Chromium-baserade webbläsare som Microsoft Edge, Brave, Opera och Vivaldi, och uppdateringar bör tillämpas så snart de blir tillgängliga.