Google исправляет шестую активно используемую уязвимость нулевого дня в Chrome в этом году

Недавно компания Google опубликовала экстренные обновления безопасности, чтобы устранить активно используемую уязвимость нулевого дня в браузере Chrome, которая была обозначена как CVE-2024-4761. Эта уязвимость представляет собой проблему записи за пределами выделенной области памяти и затрагивает движок JavaScript V8, используемый в браузере Google. Разработчики подтвердили, что данная уязвимость уже используется в атаках в реальной среде. В уведомлении сказано: «CVE-2024-4761: запись за пределами выделенной области в V8. Указано анонимным источником 2024-05-09». Поскольку уязвимость активно применяется в кибератаках, компания срочно выпустила обновления версии 124.0.6367.207/.208 для операционных систем Mac и Windows, а также 124.0.6367.207 для Linux. Важные обновления будут постепенно распространены среди всех пользователей в течение ближайших дней и недель.

Согласно дополнительному уведомлению, доступ к информации о найденных ошибках и ссылкам по ним может оставаться ограниченным до тех пор, пока основная масса пользователей не обновится до исправленной версии. Google также сохранит ограничения в случае, если уязвимость связана с библиотеками третьих сторон, от которых зависят другие проекты и которые еще не были устранены.

Список активно эксплуатируемых уязвимостей нулевого дня в браузере Chrome, которые были устранены в этом году:

• CVE-2024-0519: проблема доступа к памяти за пределами допустимого в движке JavaScript Chrome (январь 2024).
• CVE-2024-2887: ошибка путаницы типов, находящаяся в WebAssembly. Уязвимость была продемонстрирована Манфредом Паулем на Pwn2Own 2024 (март 2024).
• CVE-2024-2886: проблема «использование после освобождения» в WebCodecs. Данная уязвимость была продемонстрирована Сунгхеном Ли (@0x10n) из Hacking Lab KAIST во время Pwn2Own 2024 (март 2024).
• CVE-2024-3159: ошибка доступа к памяти за пределами в движке JavaScript V8. Уязвимость была показана Эдуаром Бошиным (@le_douds) и Тао Яном (@Ga1ois) из Palo Alto Networks на Pwn2Own 2024 22 марта 2024 (март 2024).
• CVE-2024-4671: ошибка «использование после освобождения», касающаяся компонентов визуализации (май 2024).

Следите за обновлениями, подписывайтесь на меня в Twitter: @securityaffairs, а также на Facebook и Mastodon. Пьерлуиджи Паганини (SecurityAffairs – взлом, Chrome).