Η Google διόρθωσε επτά ευπάθειες στο πρόγραμμα περιήγησης Chrome, συμπεριλαμβανομένων δύο zero-day, που εντοπίστηκαν και χρησιμοποιήθηκαν από ερευνητές κατά τη διάρκεια του hacking διαγωνισμού Pwn2Own Vancouver 2024.
Η πρώτη ευπάθεια παρακολουθείται ως CVE-2024-2887 και είναι ένα σοβαρό “type confusion weakness” στο WebAssembly (Wasm) open standard. Η ευπάθεια ανακαλύφθηκε από τον Manfred Paul την πρώτη ημέρα του Pwn2Own και χρησιμοποιήθηκε για απομακρυσμένη εκτέλεση κώδικα (συγκεκριμένα double-tap RCE), χρησιμοποιώντας μια δημιουργημένη σελίδα HTML. Στόχευσε τόσο τον Chrome όσο και τον Edge.
Δείτε επίσης: Η AnyCubic διορθώνει zero-day στους εκτυπωτές 3D
Η δεύτερη Chrome zero-day ευπάθεια παρακολουθείται ως CVE-2024-2886 και αξιοποιήθηκε από τον Seunghyun Lee του KAIST Hacking Lab κατά τη διάρκεια της δεύτερης ημέρας του διαγωνισμού CanSecWest Pwn2Own. Περιγράφεται ως αδυναμία use-after-free (UAF) στο WebCodecs API, που χρησιμοποιείται από web εφαρμογές για την κωδικοποίηση και αποκωδικοποίηση περιεχομένου ήχου και βίντεο. Η ευπάθεια επιτρέπει σε απομακρυσμένους εισβολείς να εκτελούν αυθαίρετες αναγνώσεις/εγγραφές μέσω δημιουργημένων σελίδων HTML.
Ο Lee χρησιμοποίησε επίσης το zero-day CVE-2024-2886 για να πραγματοποιήσει απομακρυσμένη εκτέλεση κώδικα σε Google Chrome και Microsoft Edge.
Η Google διόρθωσε τις δύο zero-day ευπάθειες στο Google Chrome stable channel, έκδοση 123.0.6312.86/.87 για Windows και Mac και 123.0.6312.86 για χρήστες Linux.
Δείτε επίσης: Η Apple διορθώνει δύο iOS zero-day ευπάθειες
Οι προμηθευτές έχουν στη διάθεσή τους 90 ημέρες για να εκδώσουν ενημερώσεις για ευπάθειες που παρουσιάζονται στο Pwn2Own. Μετά από αυτό το διάστημα, η Trend Micro’s Zero Day Initiative αποκαλύπτει δημόσια τις λεπτομέρειες σφαλμάτων, κάτι που θα μπορούσε να θέσει σε σοβαρό κίνδυνο τους χρήστες, δεδομένου ότι οι κυβερνοεγκληματίες θα σπεύσουν να τα χρησιμοποιήσουν.
Ο διαγωνισμός Pwn2Own 2024 Vancouver ολοκληρώθηκε στις 22 Μαρτίου, με τους ερευνητές ασφαλείας να κερδίζουν 1.132.500 $ για την επίδειξη 29 zero-day exploits και exploit chains. Ο Manfred Paul αναδείχθηκε ο φετινός νικητής με χρηματικά έπαθλα 202.500 $.
Οι ενημερώσεις της Google που διορθώνουν ευπάθειες του Chrome, είναι ζωτικής σημασίας για τους χρήστες. Βελτιώνουν την ασφάλεια των προσωπικών και επαγγελματικών δεδομένων των χρηστών, προστατεύοντάς τα από επιθέσεις κακόβουλου λογισμικού ή hacking.
Οι δύο Chrome zero-day ευπάθειες που ανακαλύφθηκαν κατά τη διάρκεια του διαγωνισμού Pwn2Own είναι ιδιαίτερα ανησυχητικές. Η διόρθωσή τους θα αποτρέψει την εκμετάλλευση τους από κακόβουλους χρήστες.
Δείτε επίσης: Microsoft: Κρίσιμη ευπάθεια στον Exchange Server χρησιμοποιήθηκε ως zero-day
Επιπλέον, η ενημέρωση ασφάλειας του Chrome αυξάνει την εμπιστοσύνη των χρηστών στον browser. Οι χρήστες μπορούν να είναι βέβαιοι ότι η Google λαμβάνει σοβαρά υπόψη την ασφάλειά τους και κάνει τα πάντα για να τη διασφαλίσει.
Τέλος, οι διορθώσεις αυτές διασφαλίζουν ότι ο Chrome παραμένει συμβατός με τις τελευταίες τεχνολογικές εξελίξεις και πρότυπα ασφαλείας. Αυτό είναι ιδιαίτερα σημαντικό για τη διατήρηση της αποτελεσματικότητας και της αξιοπιστίας του περιηγητή.
Πηγή: www.bleepingcomputer.com