Google срочно выпустил новое обновление безопасности для своего браузера Chrome в ответ на обнаружение критической уязвимости, которая активно эксплуатируется в реальных атаках.
Уязвимость, получившая идентификатор CVE-2024-4671, классифицируется как ошибка использования памяти после ее освобождения (use-after-free) в компоненте, отвечающем за отображение веб-контента. Эта серьезная уязвимость дает злоумышленникам возможность выполнить произвольный код в контексте браузера и полностью скомпрометировать систему.
Информация об уязвимости была передана в Google анонимным специалистом по кибербезопасности 7 мая 2024 года. Пользователям настоятельно рекомендуется немедленно обновить Chrome до версии 124.0.6367.201/.202 для Windows и macOS и до версии 124.0.6367.201 для Linux.
Google подтвердил наличие эксплойта для этой уязвимости, но не раскрывал подробности его использования в атаках или информацию о злоумышленниках.
С начала года компания уже устранила две активно эксплуатируемые уязвимости в Chrome.
В январе была исправлена проблема с доступом за пределами массива в движке V8 JavaScript и WebAssembly (CVE-2024-0519, оценка CVSS: 8.8), которая могла привести к раскрытию конфиденциальной информации.
В марте, в ходе конкурса Pwn2Own в Ванкувере, были обнаружены ещё три уязвимости:
- CVE-2024-2886 – ошибка использования после освобождения в WebCodecs,
- CVE-2024-2887 – путаница типов в WebAssembly,
- CVE-2024-3159 – доступ за пределами массива в V8.
Владельцам браузеров на базе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi, также советуют установить обновления по мере их появления.