На этой неделе разработчики Google выпустили экстренное обновление для браузера Chrome, исправляющее уязвимость нулевого дня, которая уже использовалась в атаках. Это уже девятый 0-day баг, исправленный в браузере в 2024 году.
Уязвимость получила идентификатор CVE-2024-7971 и была обнаружена в JavaScript-движке V8. Известно, что проблему нашли специалисты Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC), и она относится к типу type confusion.
Хотя пока никаких подробностей опубликовано не было, обычно такие уязвимости могут вызывать сбои в работе браузера, а также могут использоваться для выполнения произвольного кода на целевых устройствах.
Google исправила 0-day в Chrome версиях 128.0.6613.84/.85 для Windows и macOS, а также в составе версии 128.0.6613.84 (Linux), которые будут распространены среди всех пользователей браузера в ближайшие недели.
Несмотря на то, что Google признала, что уязвимость CVE-2024-7971 уже использовалась в атаках, пока неизвестно, кто и при каких обстоятельствах эксплуатировал этот баг.
Помимо этой 0-day проблемы в Chrome 128 были устранены еще несколько ошибок, связанных с безопасностью памяти, включая use-after-free уязвимость в Passwords, out-of-bounds проблему в Skia, переполнение буфера хипа в Fonts и use-after-free в Autofill.
В компании сообщили, что за обнаружение этих проблем исследователи уже получили вознаграждения на сумму 95 000 долларов. Самая большая выплата (36 000 долларов) досталась анонимному специалисту, обнаружившему ошибку use-after-free в Passwords (CVE-2024-7964).
