Η Google ανακοίνωσε την Τετάρτη την ενημέρωση Chrome 131, που επιλύει πέντε ευπάθειες, συμπεριλαμβανομένων τεσσάρων σφαλμάτων ασφαλείας της μνήμης υψηλής σοβαρότητας, που αναφέρθηκαν από εξωτερικούς ερευνητές.
Δείτε επίσης: Ενημερώσεις Google Chrome – Διορθώνει 3 ευπάθειες
Γνωστό ως CVE-2024-12692, το πρώτο από τα σφάλματα που αναφέρθηκαν είναι ένα ελάττωμα type confusion στη μηχανή JavaScript V8 του προγράμματος περιήγησης, για το οποίο η Google κατέβαλε 55.000 $ στον ερευνητή που το ανέφερε.
Ενώ ο γίγαντας του Διαδικτύου έχει διατηρήσει περιορισμένες τις λεπτομέρειες των σφαλμάτων, ένα τέτοιο ποσό επιβράβευσης σφαλμάτων συνήθως δίνεται για ελαττώματα που θα μπορούσαν να οδηγήσουν σε απομακρυσμένη εκτέλεση κώδικα (RCE).
Νέα εικόνα: Πώς ο Κρόνος κρύφτηκε πίσω από το φεγγάρι!
Βόρεια Κορέα: Κλάπηκαν crypto αξίας $ 659 εκατ. το 2024
Το TikTok ετοιμάζεται για κλείσιμο στις ΗΠΑ την Κυριακή;
Ζητήματα type confusion επικρατούν σε γλώσσες προγραμματισμού που δεν διαθέτουν μηχανισμούς ασφαλείας μνήμης και η επιτυχής εκμετάλλευση τέτοιων ελαττωμάτων στη μηχανή V8 του Chrome θα μπορούσε να επιτρέψει στους παράγοντες απειλής να διαρρεύσουν ευαίσθητες πληροφορίες ή να θέσει σε κίνδυνο το σύστημα του θύματος.
Δείτε ακόμα: Ευπάθεια Type Confusion στο Google Chrome επιτρέπει απομακρυσμένη πρόσβαση
Η δεύτερη αναφερόμενη ευπάθεια είναι ένα άλλο ζήτημα ασφάλειας της μνήμης στο V8. Είναι γνωστό ως CVE-2024-12693 και περιγράφηκε ως σφάλμα πρόσβασης στη μνήμη εκτός ορίων, έδωσε στον ερευνητή αναφοράς μια ανταμοιβή 20.000 $ στο bug bounty.
Η ενημέρωση Chrome 131 αντιμετωπίζει επίσης το CVE-2024-12694, ένα ζήτημα υψηλής σοβαρότητας στο Compositing και το CVE-2024-12695, ένα ελάττωμα εγγραφής εκτός ορίων στο V8. Η Google δεν έχει αποκαλύψει τα ποσά του bug bounty που πρέπει να πληρωθούν για αυτές τις δύο ευπάθειες.
Η πιο πρόσφατη επανάληψη του Chrome διατίθεται τώρα στους χρήστες ως εκδόσεις 131.0.6778.204/.205 για Windows και macOS και ως έκδοση 131.0.6778.204 για Linux. Η Google δεν κάνει καμία αναφορά για το αν κάποιο από αυτά τα ελαττώματα εκμεταλλεύεται ενεργά.
Τα τελευταία χρόνια, η Google έχει κάνει πολλά βήματα για να δυσκολέψει τους παράγοντες απειλών να εκμεταλλευτούν ελαττώματα ασφάλειας μνήμης στο Chrome, ενώ επένδυσε επίσης στην εξάλειψη τέτοιων ευπαθειών από τη βάση κώδικα της, συμπεριλαμβανομένης της μετάβασης σε Rust, που θεωρείται ασφαλής γλώσσα προγραμματισμού για τη μνήμη.
Δείτε επίσης: ΗΠΑ: Η Google πρέπει να πουλήσει τον Chrome browser
Τα σφάλματα ασφαλείας μνήμης είναι μια κοινή και κρίσιμη κατηγορία ευπαθειών λογισμικού που εμφανίζονται όταν ένα πρόγραμμα διαχειρίζεται εσφαλμένα τις λειτουργίες της μνήμης. Ζητήματα όπως υπερχείλιση buffer ή μηδενικές παραπομπές δείκτη συχνά οδηγούν σε απρόβλεπτη συμπεριφορά, εκμεταλλεύσεις ασφαλείας και σφάλματα συστήματος. Αυτά τα σφάλματα συνήθως προκύπτουν από πρακτικές προγραμματισμού χαμηλού επιπέδου, όπου οι προγραμματιστές χειρίζονται χειροκίνητα την κατανομή και την εκχώρηση μνήμης. Οι σύγχρονες γλώσσες προγραμματισμού και τα εργαλεία περιλαμβάνουν όλο και περισσότερο λειτουργίες όπως η συλλογή σκουπιδιών και ο έλεγχος ορίων για τον μετριασμό αυτών των κινδύνων, τονίζοντας τη σημασία του ασφαλούς χειρισμού της μνήμης στην ανάπτυξη λογισμικού για τη διασφάλιση ισχυρών και ασφαλών συστημάτων.
Πηγή: securityweek