Google je uveo ispravke za rješavanje skupa od devet sigurnosnih problema u svom Chrome pretraživaču, uključujući novi nulti dan koji je eksploatisan u divljini.
Dodijeljen CVE identifikator CVE-2024-4947 , ranjivost se odnosi na grešku zabune tipa u V8 JavaScript i WebAssembly motoru. To su izvestili istraživači kompanije Kaspersky Vasilij Berdnikov i Boris Larin 13. maja 2024.
Ranjivosti u vezi sa zabunom nastaju kada program pokuša pristupiti resursu nekompatibilnog tipa. To može imati ozbiljne posljedice jer omogućava hakerima da izvrše pristup memoriji izvan granica, izazovu pad i izvrše proizvoljan kod.
Razvoj označava treći nulti dan koji je Google zakrpio u roku od nedelju dana nakon CVE-2024-4671 i CVE-2024-4761 .
Kao što je obično slučaj, dodatni detalji o napadima nisu dostupni i zadržani su kako bi se spriječila daljnja eksploatacija. “Google je svjestan da eksploatacija za CVE-2024-4947 postoji u divljini”, saopštila je kompanija .
Sa CVE-2024-4947, Google je riješio ukupno sedam nultih dana u Chromeu od početka godine:
- CVE-2024-0519 – Pristup memoriji izvan granica u V8
- CVE-2024-2886 – Upotreba bez upotrebe u WebCodecima (demonstrirano na Pwn2Own 2024.)
- CVE-2024-2887 – Zbrka u tipu u WebAssembly (demonstrirano na Pwn2Own 2024)
- CVE-2024-3159 – Pristup memoriji izvan granica u V8 (demonstrirano na Pwn2Own 2024)
- CVE-2024-4671 – Upotreba bez upotrebe u vizualima
- CVE-2024-4761 – Zapis izvan granica u V8
Korisnicima se preporučuje da nadograde na Chrome verziju 125.0.6422.60/.61 za Windows i macOS i verziju 125.0.6422.60 za Linux kako bi ublažili potencijalne prijetnje.
Korisnicima pretraživača zasnovanih na Chromiumu, kao što su Microsoft Edge, Brave, Opera i Vivaldi, takođe se savjetuje da primjene popravke čim postanu dostupne.
Izvor:The Hacker News