Компания Google выпустила обновления безопасности для устранения первой с начала года уязвимости нулевого дня в Chrome, эксплуатируемой в дикой природе.
"Google знает о сообщениях, что эксплойт для CVE-2024-0519 существует в дикой природе", - говорится в сообщении компании. рекомендация по безопасности опубликованном во вторник.
Компания исправила "нулевой день" для пользователей в канале Stable Desktop, а исправленные версии распространяются по всему миру для пользователей Windows (120.0.6099.224/225), Mac (120.0.6099.234) и Linux (120.0.6099.224) менее чем через неделю после получения сообщения от Google.
Хотя Google утверждает, что обновление безопасности может занять несколько дней или недель, чтобы добраться до всех затронутых пользователей, оно было доступно сразу же, когда genshin проверил наличие обновлений сегодня.
Те, кто предпочитает не обновлять браузер вручную, могут рассчитывать на то, что Chrome будет автоматически проверять наличие новых обновлений и устанавливать их после очередного запуска.
Уязвимость нулевого дня высокой степени опасности (CVE-2024-0519) связано с уязвимостью доступа к памяти за пределами границ в JavaScript-движке Chrome V8, которую злоумышленники могут использовать для получения доступа к данным за пределами буфера памяти, что позволяет им получить доступ к конфиденциальной информации или спровоцировать аварийное завершение работы.
"Ожидаемый дозорный может не находиться в запрещенной памяти, что приводит к считыванию избыточного количества данных, приводящему к ошибке сегментации или переполнению буфера", - поясняет MITRE. объясняет .. "Продукт может изменить индекс или выполнить арифметику указателя, который ссылается на ячейку памяти, находящуюся за пределами буфера. Последующая операция чтения приводит к неопределенным или неожиданным результатам".
Помимо несанкционированного доступа к памяти за пределами границ, CVE-2024-0519 также может быть использована для обхода таких механизмов защиты, как ASLR, чтобы облегчить выполнение кода через другую слабую сторону.
Хотя Google известно об использовании в атаках эксплойтов нулевого дня CVE-2024-0519, компания пока не раскрывает более подробную информацию об этих инцидентах.
"Доступ к информации об ошибке и ссылкам может быть ограничен до тех пор, пока большинство пользователей не получат исправление", - говорится в сообщении Google. "Мы также сохраним ограничения, если ошибка существует в сторонней библиотеке, от которой зависят другие проекты, но еще не исправлены".
Сегодня Google также исправила ошибки V8 out-of-bounds write (CVE-2024-0517) и type confusion (CVE-2024-0518), позволяющие выполнять произвольный код на взломанных устройствах.
В прошлом году Google исправила восемь ошибок нулевого дня в Chrome, которые использовались в атаках, отслеживаемых как CVE-2023-7024, CVE-2023-6345, CVE-2023-5217, CVE-2023-4863, CVE-2023-3079, CVE-2023-4762, CVE-2023-2136, и CVE-2023-2033.
Некоторые из них, например CVE-2023-4762, были отмечены как "нулевые дни", используемые для установки шпионского ПО на уязвимые устройства пользователей из группы риска, включая журналистов, оппозиционных политиков и диссидентов, через несколько недель после того, как компания выпустила исправления.
Если тебе понравилась статья - подпишись на канал, чтобы не пропустить ещё много полезных статей!
Также ты можешь читать меня здесь:
- Телеграм: https://t.me/gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru