Xakep #305. Многошаговые SQL-инъекции
Компания Google выпустила экстренное обновление для браузера Chrome, устраняющее уязвимость нулевого дня, которая уже используется в атаках.
Ранее на этой неделе Google уже патчила другую 0-day уязвимость в своем бразуере. Тогда в Chrome исправили проблему CVE-2024-4671, которая описывалась как use-after-free баг в компоненте Visuals.
Новая ошибка отслеживается под идентификатором CVE-2024-4761. Она представляет собой проблему out-of-bounds записи, затрагивающую JavaScript-движок V8 в Chrome, который отвечает за выполнение JS-кода. Как правило, уязвимости такого типа могут привести к несанкционированному доступу к данным, выполнению произвольного кода или сбою.
В Google предупредили, что для CVE-2024-4761 уже существует эксплоит, то есть уязвимость уже применяется в атаках.
Компания устранила проблему с релизом 124.0.6367.207/.208 для Mac и Windows, а также 124.0.6367.207 для Linux. Обновления будут распространены среди всех пользователей в ближайшие дни.
Компания сообщает, что об уязвимости 9 мая 2024 года сообщил анонимный исследователь , однако никаких дополнительных подробностей на данный момент не раскрывается.
«Доступ к информации об ошибке и ссылкам может быть ограничен до тех пор, пока большинство пользователей не получат обновление с исправлением. Мы также сохраним ограничения, если ошибка присутствует в сторонней библиотеке, от которой аналогичным образом зависят другие проекты, но исправление пока недоступно», — сообщает Google.
Таким образом, в 2024 году в Chrome уже исправили шесть уязвимостей нулевого дня, три из которых были продемонстрированы на хакерском соревновании Pwn2Own в Ванкувере в марте текущего года.