Компания Google сообщила об исправлении десятой 0-day уязвимости в браузере Chrome в 2024 году. Разработчики предупредили, что проблема уже использовалась хакерами.
Уязвимость получила идентификатор CVE-2024-7965 и была обнаружена ИБ-исследователем, известным под ником TheDog. Сообщается, что баг связан с ошибкой в бэкенде компилятора и проявляется при выборе инструкций для компиляции just-in-time (JIT).
Google описывает уязвимость как неправильную имплементацию в JavaScript-движке V8, которая позволяет удаленным злоумышленникам эксплуатировать повреждение хипа через вредоносную HTML-страницу.
Об исправлении свежей проблемы разработчики сообщили через обновление записи в официальном блоге, где на прошлой рассказывалось об устранении другой 0-day проблемы (CVE-2024-7971), относящейся к типу type confusion.
В Google предупредили, что компании известно о существовании эксплоитов для CVE-2024-7971 и CVE-2024-7965, и обе уязвимости уже используются хакерами в атаках. Однако никакой информации об этих атаках пока не раскрывается.
Обе уязвимости были устранены в Chrome версий 128.0.6613.84/.85 для Windows и macOS, а также в составе версии 128.0.6613.84 (Linux), которые распространяются среди всех пользователей браузера с прошлой недели.
