Компанія Google випустила оновлення безпеки для браузера Chrome, щоб усунути п’яту вразливість нульового дня, яка використовувалася з початку року. Про це повідомляє BleepingComputer.
Проблема високого рівня серйозності, яка відстежується як CVE-2024-4671. Це вразливість у компоненті Visuals, який обробляє рендеринг і відображення контенту у браузері.
Було виявлено, що ця вразливість використовувалася в атаках.
У Google вирішили проблему, випустивши версії 124.0.6367.201/.202 для Mac/Windows і 124.0.6367.201 для Linux, а оновлення з’являться протягом найближчих днів/тижнів.
Для користувачів каналу Extended Stable виправлення будуть доступні у версії 124.0.6367.201 для Mac і Windows, які також будуть випущені пізніше.
Chrome оновлюється автоматично, коли доступне оновлення системи безпеки. Але користувачі можуть самостійно запустити останню версію, перейшовши в «Налаштування» > «Про Chrome», дочекавшись завершення оновлення, а потім натиснувши кнопку «Перезапустити», щоб застосувати його.
Ця остання помилка, усунена в Google Chrome, стала п’ятою за цей рік. Три інші були виявлені під час хакерського конкурсу Pwn2Own у Ванкувері в березні 2024 року.
Ось інші вразливості нульового дня Chrome, виправлені з початку року:
- CVE-2024-0519. Дуже серйозна вразливість поза межами доступу до пам’яті в механізмі JavaScript Chrome V8, яка дає змогу хакерам віддалено використовувати пошкодження через спеціально створену HTML-сторінку, що призводить до несанкціонованого доступу до конфіденційної інформації.
- CVE-2024-2887. Вада у стандарті WebAssembly (Wasm). Це може призвести до експлойтів віддаленого виконання коду (RCE) із використанням створеної сторінки HTML.
- CVE-2024-2886. Вразливість використання після звільнення в API WebCodecs, який використовується вебзастосунками для кодування та декодування аудіо й відео. Віддалені зловмисники використовували його для довільного читання та запису через створені сторінки HTML, що призводило до віддаленого виконання коду.
- CVE-2024-3159. Вразливість високого рівня в JavaScript Chrome V8. Віддалені зловмисники скористалися цією помилкою, використовуючи спеціально створені HTML-сторінки для доступу до даних за межами виділеного буфера пам’яті для вилучення конфіденційної інформації.
Раніше ProIT повідомляв, що Google Chrome отримує вбудовану підтримку розділів відео, подібно до YouTube.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!