Разработчики Google выпустили патч для уязвимости нулевого дня в браузере Chrome, которую уже эксплуатируют хакеры. Проблема получила идентификатор CVE-2024-0519 и представляет собой out-of-bounds доступ к памяти в JavaScript-движке V8.
CVE-2024-0519 стала первой 0-day уязвимостью в Chrome, исправленной в 2024 году. Google сообщает, что баг уже устранен в канале Stable Desktop, и исправленные версии браузера уже развертываются по всему миру для пользователей Windows (120.0.6099.224/225), Mac (120.0.6099.234) и Linux (120.0.6099.224).
Известно, что уязвимость в движке V8 может использоваться злоумышленниками для получения доступа к данным за пределами буфера памяти, предоставляя им доступ к конфиденциальной информации или позволяя спровоцировать сбой.
Помимо несанкционированного доступа к внешней памяти, CVE-2024-0519 также можно использовать для обхода защитных механизмов, таких как ASLR, что может применяться в сочетании с другими багами, например, для упрощения задачи по выполнению кода в системе жертвы.
Google сообщает, что ей известно об эксплоитах для CVE-2024-0519, которые уже используются хакерами в атаках, но пока компания не предоставила никаких подробностей об этих инцидентах и самой уязвимости, давая пользователям больше времени на установку патчей.
Кроме того, вместе с этим 0-day багом, Google устранила уязвимости out-of-bounds записи в V8 (CVE-2024-0517) и type confusion (CVE-2024-0518), позволявшие выполнять произвольный код на взломанных устройствах.
