Google в четверг выпустила исправления для устранения серьезной уязвимости безопасности в своем браузере Chrome, которая, по его словам, использовалась в дикой природе.
Уязвимости присвоен идентификатор CVE CVE-2024-5274, она связана с ошибкой путаницы типов в JavaScript версии 8 и движке WebAssembly engine. Об этом сообщили Клеман Лесинь из Группы анализа угроз Google и Брендон Тиска из службы безопасности Chrome 20 мая 2024 года.
Уязвимости с путаницей типов возникают, когда программа пытается получить доступ к ресурсу с несовместимым типом. Это может иметь серьезные последствия, поскольку позволяет субъектам угрозы осуществлять доступ к памяти за пределами допустимых пределов, вызывать сбой и выполнять произвольный код.
Разработка отмечает четвертый нулевой день, который Google исправил с начала месяца после CVE-2024-4671, CVE-2024-4761 и CVE-2024-4947.
Технический гигант не раскрыл дополнительных технических подробностей об ошибке, но признал, что ему "известно, что эксплойт для CVE-2024-5274 существует в дикой природе". Неясно, является ли недостатком обходной путь исправления для CVE-2024-4947, который также является ошибкой путаницы типов в версии 8.
С последним исправлением Google исправил в общей сложности восемь "нулевых дней", которые были устранены Google в Chrome с начала года -
Пользователям браузеров на базе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi, также рекомендуется применять исправления по мере их появления.
Уязвимости присвоен идентификатор CVE CVE-2024-5274, она связана с ошибкой путаницы типов в JavaScript версии 8 и движке WebAssembly engine. Об этом сообщили Клеман Лесинь из Группы анализа угроз Google и Брендон Тиска из службы безопасности Chrome 20 мая 2024 года.
Уязвимости с путаницей типов возникают, когда программа пытается получить доступ к ресурсу с несовместимым типом. Это может иметь серьезные последствия, поскольку позволяет субъектам угрозы осуществлять доступ к памяти за пределами допустимых пределов, вызывать сбой и выполнять произвольный код.
Разработка отмечает четвертый нулевой день, который Google исправил с начала месяца после CVE-2024-4671, CVE-2024-4761 и CVE-2024-4947.
Технический гигант не раскрыл дополнительных технических подробностей об ошибке, но признал, что ему "известно, что эксплойт для CVE-2024-5274 существует в дикой природе". Неясно, является ли недостатком обходной путь исправления для CVE-2024-4947, который также является ошибкой путаницы типов в версии 8.
С последним исправлением Google исправил в общей сложности восемь "нулевых дней", которые были устранены Google в Chrome с начала года -
- CVE-2024-0519 - Ограниченный доступ к памяти в версии 8
- CVE-2024-2886 - Бесплатное использование в вебкодеках (продемонстрировано на Pwn2Own 2024)
- Ошибка типа CVE-2024-2887 в WebAssembly (продемонстрирована на Pwn2Own 2024)
- CVE-2024-3159 - Ограниченный доступ к памяти в версии 8 (продемонстрирован на Pwn2Own 2024)
- CVE-2024-4671 - Использование после освобождения в визуальных эффектах
- CVE-2024-4761 - Запись вне пределов в версии 8
- CVE-2024-4947 - Ошибка типа в версии 8
Пользователям браузеров на базе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi, также рекомендуется применять исправления по мере их появления.
