Η Google διόρθωσε μια νέα zero-day ευπάθεια στον Chrome browser (την πέμπτη για φέτος). Η ευπάθεια χρησιμοποιείται ήδη σε επιθέσεις.
Monitored as CVE-2024-4671 και είναι μια σοβαρή ευπάθεια “user after free" in Visuals component, που χειρίζεται το rendering και την εμφάνιση περιεχομένου στο browser Chrome. Ανακαλύφθηκε και αναφέρθηκε στην Google από έναν ανώνυμο ερευνητή και η εταιρεία Revealed that χρησιμοποιείται ενεργά σε attacks.
Η εκμετάλλευση Use after-free ευπαθειών μπορεί να επιτρέψει τη διαρροή δεδομένων, την εκτέλεση κώδικα ή την πρόκληση κρασαρίσματος.
See also: ArcaneDoor: Hackers use Cisco zero-day to breach networks
Η Google αντιμετώπισε τη zero-day ευπάθεια με την έκδοση 124.0.6367.201/.202 για Mac/Windows and 124.0.6367.201 για Linux. Οι χρήστες θα λάβουν τις ενημερώσεις τις επόμενες ημέρες/εβδομάδες. Για τους users του καναλιού «Extended Stable», οι διορθώσεις θα είναι διαθέσιμες στην έκδοση 124.0.6367.201 για Mac και Windows.
Ο Google Chrome browser ενημερώνεται αυτόματα όταν κυκλοφορεί μια ενημέρωση ασφαλείας. Ωστόσο, αν έχετε αμφιβολίες, μπορείτε να ελέγξετε την έκδοση μεταβαίνοντας στις Ρυθμίσεις > Σχετικά με το Chrome. Κάνετε κλικ στο κουμπί “Relaunch” για να εφαρμόσετε την update.
Google Chrome: Διορθώνεται η πέμπτη zero-day ευπάθεια για φέτος
Αυτή είναι η πέμπτη Chrome zero-day ευπάθεια που διορθώνεται από την αρχή του χρόνου. Τρεις άλλες ανακαλύφθηκαν κατά τη διάρκεια του hacking διαγωνισμού Pwn2Own στο Βανκούβερ, τον Μάρτιο του 2024.
See also: CrushFTP: Calls for an immediate fix of zero-day
Αναλυτικά, οι ευπάθειες που έχουν διορθωθεί:
CVE-2024-0519: Μια ευπάθεια “out-of-bounds memory access”, υψηλής σοβαρότητας, που εντοπίστηκε στο Chrome V8 JavaScript engine, και επέτρεπε σε απομακρυσμένους εισβολείς να εκμεταλλεύονται heap corruption μέσω μιας ειδικά κατασκευασμένης σελίδας HTML. Το αποτέλεσμα είναι η μη εξουσιοδοτημένη Accessed at σε ευαίσθητες πληροφορίες.
CVE-2024-2887: Μια ευπάθεια type confusion υψηλής σοβαρότητας στο WebAssembly (Wasm) standard. Επιτρέπει απομακρυσμένη εκτέλεση κώδικα (RCE) αξιοποιώντας μια δημιουργημένη σελίδα HTML.
CVE-2024-2886: Μια ευπάθεια use-after-free στο WebCodecs API που χρησιμοποιείται από web εφαρμογές για την κωδικοποίηση και την αποκωδικοποίηση ήχου και Video. Οι επιτιθέμενοι το εκμεταλλεύτηκαν για απομακρυσμένη εκτέλεση κώδικα.
CVE-2024-3159: Μια ευπάθεια υψηλής σοβαρότητας στο Chrome V8 JavaScript engine. Οι απομακρυσμένοι εισβολείς εκμεταλλεύτηκαν αυτό το ελάττωμα χρησιμοποιώντας ειδικά κατασκευασμένες σελίδες HTML για να αποκτήσουν πρόσβαση σε data.
See also: Palo Alto Networks fixes zero-day firewall backdoor
Οι παραπάνω Chrome zero-day ευπάθειες είναι ιδιαίτερα ανησυχητικές. Η διόρθωσή τους αποτρέπει την εκμετάλλευσή τους από κακόβουλους users.
In addition, the ενημέρωση ασφάλειας του Chrome αυξάνει την εμπιστοσύνη των users στον browser. Οι χρήστες μπορούν να είναι βέβαιοι ότι η Google λαμβάνει σοβαρά υπόψη την ασφάλειά τους και κάνει τα πάντα για να τη διασφαλίσει.
Τέλος, οι διορθώσεις αυτές διασφαλίζουν ότι ο Chrome παραμένει συμβατός με τις τελευταίες τεχνολογικές εξελίξεις και πρότυπα Security. Αυτό είναι ιδιαίτερα σημαντικό για τη διατήρηση της αποτελεσματικότητας και της αξιοπιστίας του περιηγητή.
Source : www.bleepingcomputer.com
. Η ευπάθεια χρησιμοποιείται ήδη σε επιθέσεις.){kind=link}