Спешно обновете Chrome: нова 0day уязвимост разкрива конфиденциалните данни
Гугъл пусна актуализации, с които се отстраняват четири казуса със сигурността в браузъра Chrome, в това число интензивно употребена накърнимост от вида „ нулев ден “.
Уязвимостта CVE-2024-0519 е обвързвана с достъп до паметта отвън границите (Out-of-bounds memory access) в механизма на JavaScript V8 и WebAssembly, от който нападателят може да се възползва, с цел да провокира срив на системата.
Достъпът до паметта отвън границите разрешава на нападателя да получи чувствителни данни, като да вземем за пример значими адреси на паметта, което заобикаля механизма за отбрана на ASLR (Address Space Layout Randomisation) и усилва вероятността други уязвимости да бъдат употребявани за осъществяване на код, а освен за отвод на услуга (DoS), както изяснява софтуерния център MITRE.
В описанието на уязвимостта на NIST се показва, че достъпът до паметта отвън JavaScript V8 в Гугъл Chrome преди версия 120.0.6099.224 разрешава на далечен нападател да употребява Heap Corruption с авансово готова специфична HTML страница.
Допълнителна информация за естеството на офанзивите и участниците в заканите, които биха могли да ги употребяват, не се разкрива за да се предотврати по-нататъшното им потребление. Проблемът е обявен анонимно на 11-ти януари 2024 година На потребителите се предлага да актуализират Chrome до 120.0.6099.224/225 за Windows, до 120.0.6099.234 за macOS и до 120.0.6099.224 за Linux, с цел да отстраняват евентуалните закани.
На потребителите на браузъри, основани на Chromium – Microsoft Edge, Brave, Opera и Vivaldi – също се предлага да конфигурират всички пачове, незабавно откакто станат налични.
