В понедельник Google отправил экстренные исправления для устранения новой уязвимости нулевого дня в веб-браузере Chrome, которая активно использовалась в дикой природе.
Уязвимость высокой степени серьезности, отслеживаемая как CVE-2024-4761, представляет собой ошибку при записи за пределы допустимых пределов, влияющую на JavaScript версии 8 и движок WebAssembly. Анонимное сообщение об этом поступило 9 мая 2024 года.
Ошибки при записи за пределы сети обычно могут использоваться злоумышленниками для повреждения данных, сбоя или выполнения произвольного кода на скомпрометированных хостах.
"Google знает, что эксплойт для CVE-2024-4761 существует в дикой природе", - сказал технический гигант.
Дополнительные сведения о характере атак не разглашаются, чтобы другие участники угрозы не смогли использовать уязвимость в своих целях.
Раскрытие произошло всего через несколько дней после того, как компания исправила CVE-2024-4671, уязвимость в компоненте визуальных эффектов, которая использовалась в реальных атаках.
С последним исправлением Google исправил в общей сложности шесть нулевых дней с начала года, три из которых были продемонстрированы на конкурсе хакеров Pwn2Own в Ванкувере в марте -
Пользователям браузеров на базе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi, также рекомендуется применять исправления по мере их появления.
Уязвимость высокой степени серьезности, отслеживаемая как CVE-2024-4761, представляет собой ошибку при записи за пределы допустимых пределов, влияющую на JavaScript версии 8 и движок WebAssembly. Анонимное сообщение об этом поступило 9 мая 2024 года.
Ошибки при записи за пределы сети обычно могут использоваться злоумышленниками для повреждения данных, сбоя или выполнения произвольного кода на скомпрометированных хостах.
"Google знает, что эксплойт для CVE-2024-4761 существует в дикой природе", - сказал технический гигант.
Дополнительные сведения о характере атак не разглашаются, чтобы другие участники угрозы не смогли использовать уязвимость в своих целях.
Раскрытие произошло всего через несколько дней после того, как компания исправила CVE-2024-4671, уязвимость в компоненте визуальных эффектов, которая использовалась в реальных атаках.
С последним исправлением Google исправил в общей сложности шесть нулевых дней с начала года, три из которых были продемонстрированы на конкурсе хакеров Pwn2Own в Ванкувере в марте -
- CVE-2024-0519 - Ограниченный доступ к памяти в версии 8 (активно эксплуатируется)
- CVE-2024-2886 - Бесплатное использование в WebCodecs
- Ошибка типа CVE-2024-2887 в WebAssembly
- CVE-2024-3159 - Ограниченный доступ к памяти в версии 8
- CVE-2024-4671 - Ошибка в визуальных элементах после удаления (активно эксплуатируется)
Пользователям браузеров на базе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi, также рекомендуется применять исправления по мере их появления.
