We wtorek Google udostępniło aktualizacje naprawiające cztery problemy związane z bezpieczeństwem przeglądarki Chrome, w tym aktywnie wykorzystywaną lukę dnia zerowego.
Problem, kontynuowany jako CVE-2024-0519to wykraczający poza zakres dostęp do pamięci w silniku JavaScript i WebAssembly V8, który może zostać wykorzystany przez cyberprzestępców w celu wywołania awarii.
„Odczytując pamięć poza dopuszczalnym zakresem, osoba atakująca może uzyskać tajne wartości, takie jak adresy pamięci, które można wykorzystać do ominięcia mechanizmów ochronnych, takich jak ASLR, w celu poprawy niezawodności i prawdopodobieństwa wykorzystania osobnej luki w celu wykonania kodu, a nie niż tylko odmowa usługi” – podaje wspólne wyliczenie słabych stron MITER (CWE).
Dalsze szczegóły dotyczące charakteru ataków i podmiotów zagrażających, które mogą je wykorzystywać, zostały utajnione, aby zapobiec dalszemu wykorzystaniu. Problem został zgłoszony anonimowo 11 stycznia 2024 r.
„Dostęp poza granicami pamięci w przeglądarce Google Chrome w wersji 8 przed wersją 120.0.6099.224 umożliwiał zdalnemu atakującemu potencjalne wykorzystanie uszkodzenia sterty za pośrednictwem spreparowanej strony HTML” – czytamy w komentarzu Opis błędu w Krajowej Bazie Danych Podatności NIST (NVD).
Opracowanie to stanowi pierwszy aktywnie wykorzystywany dzień zerowy, który zostanie załatany przez Google w przeglądarce Chrome w 2024 r. W zeszłym roku technologiczny gigant naprawił w przeglądarce łącznie 8 takich aktywnie wykorzystywanych dni zerowych.
Użytkownikom zaleca się aktualizację przeglądarki Chrome do wersji 120.0.6099.224/225 dla systemu Windows, 120.0.6099.234 dla systemu macOS i 120.0.6099.224 dla systemu Linux w celu ograniczenia potencjalnych zagrożeń.
Użytkownikom przeglądarek opartych na Chromium, takich jak Microsoft Edge, Brave, Opera i Vivaldi, również zaleca się zastosowanie poprawek, gdy tylko staną się dostępne.
