Google во вторник выпустила обновления для устранения четырех проблем безопасности в своем браузере Chrome, включая активно используемую уязвимость нулевого дня.
Проблема, отслеживаемая как CVE-2024-0519, связана с ограниченным доступом к памяти в JavaScript версии 8 и движке WebAssembly, который может быть использован злоумышленниками для запуска сбоя.
"Считывая доступную память, злоумышленник может получить секретные значения, такие как адреса памяти, которые могут быть использованы в обход механизмов защиты, таких как ASLR, чтобы повысить надежность и вероятность использования отдельной уязвимости для выполнения кода вместо простого отказа в обслуживании", - говорится в перечне распространенных уязвимостей MITRE (CWE).
Дополнительные сведения о характере атак и исполнителях угроз, которые могут их использовать, не разглашаются в попытке предотвратить дальнейшее использование. Анонимное сообщение о проблеме поступило 11 января 2024 года.
"Доступ за пределы памяти в версии 8 в Google Chrome до версии 120.0.6099.224 позволял удаленному злоумышленнику потенциально использовать повреждение кучи через созданную HTML-страницу", - говорится в описании ошибки в Национальной базе данных уязвимостей NIST (NVD).
Данная разработка отмечает первый активно используемый нулевой день, который Google исправит в Chrome в 2024 году. В прошлом году технологический гигант устранил в общей сложности 8 таких активно эксплуатируемых нулевых дней в браузере.
Пользователям рекомендуется обновить Chrome до версии 120.0.6099.224 / 225 для Windows, 120.0.6099.234 для macOS и 120.0.6099.224 для Linux, чтобы уменьшить потенциальные угрозы.
Пользователям браузеров на базе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi, также рекомендуется применять исправления по мере их появления.
Проблема, отслеживаемая как CVE-2024-0519, связана с ограниченным доступом к памяти в JavaScript версии 8 и движке WebAssembly, который может быть использован злоумышленниками для запуска сбоя.
"Считывая доступную память, злоумышленник может получить секретные значения, такие как адреса памяти, которые могут быть использованы в обход механизмов защиты, таких как ASLR, чтобы повысить надежность и вероятность использования отдельной уязвимости для выполнения кода вместо простого отказа в обслуживании", - говорится в перечне распространенных уязвимостей MITRE (CWE).
Дополнительные сведения о характере атак и исполнителях угроз, которые могут их использовать, не разглашаются в попытке предотвратить дальнейшее использование. Анонимное сообщение о проблеме поступило 11 января 2024 года.
"Доступ за пределы памяти в версии 8 в Google Chrome до версии 120.0.6099.224 позволял удаленному злоумышленнику потенциально использовать повреждение кучи через созданную HTML-страницу", - говорится в описании ошибки в Национальной базе данных уязвимостей NIST (NVD).
Данная разработка отмечает первый активно используемый нулевой день, который Google исправит в Chrome в 2024 году. В прошлом году технологический гигант устранил в общей сложности 8 таких активно эксплуатируемых нулевых дней в браузере.
Пользователям рекомендуется обновить Chrome до версии 120.0.6099.224 / 225 для Windows, 120.0.6099.234 для macOS и 120.0.6099.224 для Linux, чтобы уменьшить потенциальные угрозы.
Пользователям браузеров на базе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi, также рекомендуется применять исправления по мере их появления.
