Google выпустила исправления для решения набора из девяти проблем безопасности в своем браузере Chrome, включая новую уязвимость нулевого дня, которая использовалась повсеместно.
Уязвимости присвоен идентификатор CVE CVE-2024-4947, она связана с ошибкой путаницы типов в JavaScript версии 8 и движке WebAssembly engine. О ней сообщили исследователи Касперского Василий Бердников и Борис Ларин 13 мая 2024 года.
Уязвимости, связанные с путаницей типов, возникают, когда программа пытается получить доступ к ресурсу с несовместимым типом. Она может иметь серьезные последствия, поскольку позволяет субъектам угрозы осуществлять доступ к памяти за пределами допустимых пределов, вызывать сбой и выполнять произвольный код.
Разработка отмечает третий нулевой день, который Google исправил в течение недели после CVE-2024-4671 и CVE-2024-4761.
Как это обычно бывает, никаких дополнительных сведений об атаках не доступно, и они были утаены для предотвращения дальнейшего использования. "Google знает, что эксплойт для CVE-2024-4947 существует в дикой природе", - сказали в компании.
С CVE-2024-4947 Google устранил в общей сложности семь проблем нулевого дня в Chrome с начала года -
Пользователям браузеров на базе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi, также рекомендуется применять исправления по мере их появления.
Уязвимости присвоен идентификатор CVE CVE-2024-4947, она связана с ошибкой путаницы типов в JavaScript версии 8 и движке WebAssembly engine. О ней сообщили исследователи Касперского Василий Бердников и Борис Ларин 13 мая 2024 года.
Уязвимости, связанные с путаницей типов, возникают, когда программа пытается получить доступ к ресурсу с несовместимым типом. Она может иметь серьезные последствия, поскольку позволяет субъектам угрозы осуществлять доступ к памяти за пределами допустимых пределов, вызывать сбой и выполнять произвольный код.
Разработка отмечает третий нулевой день, который Google исправил в течение недели после CVE-2024-4671 и CVE-2024-4761.
Как это обычно бывает, никаких дополнительных сведений об атаках не доступно, и они были утаены для предотвращения дальнейшего использования. "Google знает, что эксплойт для CVE-2024-4947 существует в дикой природе", - сказали в компании.
С CVE-2024-4947 Google устранил в общей сложности семь проблем нулевого дня в Chrome с начала года -
- CVE-2024-0519 - Ограниченный доступ к памяти в версии 8
- CVE-2024-2886 - Использование после освобождения в WebCodecs (продемонстрировано на Pwn2Own 2024)
- Ошибка типа CVE-2024-2887 в WebAssembly (продемонстрирована на Pwn2Own 2024)
- CVE-2024-3159 - Ограниченный доступ к памяти в версии 8 (продемонстрирован на Pwn2Own 2024)
- CVE-2024-4671 - Использование после освобождения в визуальных эффектах
- CVE-2024-4761 - Запись вне пределов в версии 8
Пользователям браузеров на базе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi, также рекомендуется применять исправления по мере их появления.
