26 августа 2024 года компания Google сообщила об исправлении десятой уязвимости нулевого дня в браузере Chrome, эксплуатируемой в 2024 году злоумышленниками или исследователями безопасности во время хакерских конкурсов.
Уязвимость с идентификатором CVE-2024-7965 была обнаружена исследователем безопасности под псевдонимом TheDog. Эта уязвимость серьезной степени опасности связана с неправильной реализацией в JavaScript-движке V8 Google Chrome. С ее помощью злоумышленники могут эксплуатировать повреждение кучи через специально созданную HTML-страницу.
Google сообщил об исправлении в своем официальном блоге. Напомним, что на прошлой неделе сообщалось о другом исправлении уязвимости нулевого дня высокой степени опасности (CVE-2024-7971), вызванной ошибкой путаницы типов в движке V8.
В бюллетене по безопасности Google сообщает:
Обновлено 26 августа 2024 года для отражения эксплуатации уязвимости CVE-2024-7965, о которой сообщалось после выпуска.
Google известно, что эксплойты для CVE-2024-7971 и CVE-2024-7965 используются в реальных атаках.
Google исправила обе уязвимости нулевого дня в следующих версиях:
- Chrome 128.0.6613.84/.85 для систем Windows и macOS
- Chrome 128.0.6613.84 для пользователей Linux
Хотя Chrome обновляется автоматически при наличии исправлений безопасности, пользователи могут ускорить процесс, перейдя в меню Chrome > Справка > О Google Chrome, дождаться завершения обновления и нажать кнопку Перезапустить, чтобы установить патч.
Вы также можете скачать новую версию браузера с нашего сайта:
Хотя Google подтвердила, что уязвимости CVE-2024-7971 и CVE-2024-7965 использовались в атаках, компания пока не поделилась дополнительной информацией об их эксплуатации.
Google заявляет:
Доступ к деталям уязвимости и ссылкам может быть ограничен до тех пор, пока большинство пользователей не установят исправление.
Мы также сохраним ограничения, если ошибка существует в сторонней библиотеке, от которой зависят другие, еще не исправленные проекты.
С начала года Google исправила восемь других уязвимостей нулевого дня, которые эксплуатировались в атаках или во время конкурса Pwn2Own:
- CVE-2024-0519 (Высокий риск): ошибка доступа к памяти вне границ в движке V8 JavaScript Chrome, позволяющая удаленным злоумышленникам использовать повреждение кучи через специально созданную HTML-страницу, что приводит к несанкционированному доступу к конфиденциальной информации.
- CVE-2024-2887 (Высокий риск): ошибка типа в стандарте WebAssembly (Wasm), которая может привести к удаленному выполнению кода (RCE), использующему специально созданную HTML-страницу.
- CVE-2024-2886: уязвимость использования данных после освобождения памяти в API WebCodecs. Удаленные злоумышленники использовали ее для выполнения произвольных операций чтения и записи через специально созданные HTML-страницы, что приводило к удаленному выполнению кода.
- CVE-2024-3159 (Высокий риск): уязвимость, вызванная чтением за пределами границ в движке V8 JavaScript Chrome. Удаленные злоумышленники использовали эту уязвимость с помощью специально созданных HTML-страниц для доступа к данным за пределами выделенного буфера памяти, что приводило к повреждению кучи для извлечения конфиденциальной информации.
- CVE-2024-4671 (Высокий риск): уязвимость использования данных после освобождения в компоненте Visuals, который отвечает за рендеринг и отображение контента в браузере.
- CVE-2024-4761: проблема записи за пределы границ в движке V8 JavaScript Chrome, который отвечает за выполнение JS-кода в приложении.
- CVE-2024-4947: ошибка типа в движке V8 JavaScript Chrome, позволяющая выполнять произвольный код на целевом устройстве.
- CVE-2024-5274: ошибка типа в движке V8 JavaScript Chrome, которая может привести к сбоям, повреждению данных или выполнению произвольного кода.
Обновления программ, что нового
• Advanced SystemCare 18: Новые инструменты для оптимизации работы и защиты Windows ПК
• В Chrome для Android доступно размещение адресной строки внизу экрана
• От GeForce 256 до RTX: 25-летняя эволюция видеокарт NVIDIA
• Huawei обошла Apple по продажам смартфонов в Китае
• У Алисы появилось мобильное приложение для iPhone и Android с поддержкой генерации изображений и текстов с помощью нейросетей YandexART и YandexGPT
• Яндекс обновил фотоперевод на базе нейросетей YandexGPT: читайте тексты на изображениях на десятках языков