Google je objavio hitno ažuriranje za svoj popularni Chrome web pretraživač. Ažuriranje popravlja kritičnu ranjivost nultog dana koju zlonamjerni napadači aktivno iskorištavaju.
Smatra se da je ranjivost visokorizična i ako se ne zakrpi, napadači mogu dobiti neovlašteni pristup osjetljivim informacijama na pogođenim sistemima.
Postoji ranjivost u Chrome komponenti Visuals koja se prati kao CVE-2024-4671. Greška je povezana sa use-after-free problemom i potencijalno može dovesti do daljinskog izvršavanja koda.
Google je pokrenuo ažuriranje za Chrome 124.0.6367.201/.202 za korisnike Windows, Mac i Linux računara.
Ova nova verzija uključuje ključno rješenje za ranjivost nultog dana, a Google je savjetovao sve korisnike Chrome-a da odmah nadograde na najnoviju verziju kako bi smanjili rizik od mogućeg napada.
Detalji o napadima koji koriste CVE-2024-4671 su trenutno ograničeni. Google je ograničio pristup detaljima greške sve dok većina korisnika ne ažurira grešku. Anonimni istraživač sigurnosti prijavio je ranjivost Google-u.
Ovo je šesti Chrome nulti dan koji je Google zakrpio do sada u 2024. U aprilu je Google popravio još dvije ranjivosti nultog dana, CVE-2024-2887 i CVE-2024-2886, koje su iskorištene na hakerskom takmičenju Pwn2Own Vancouver 2024. .
CVE-2024-2887 je bila vrsta konfuzione slabosti u WebAssembly-u koja se koristila kao dio eksploatacije za daljinsko izvršavanje koda, dok je CVE-2024-2886 bila use-after-free greška u API-ju WebCodecs-a koja je dozvoljavala proizvoljan pristup za čitanje/pisanje.
Ranije ove godine, Google je zakrpio CVE-2024-0519, aktivno iskorištavani nulti dan koji je omogućio napadačima pristup osjetljivim informacijama ili rušenje nezakrpljenih pretraživača zbog slabosti pristupa memoriji izvan granica u V8 JavaScript motoru.
Otkriće još jednog aktivno eksploatisanog Chrome nultog dana naglašava stalne sigurnosne rizike koje predstavljaju web pretraživači. Napadači sve više ciljaju na nedostatke u komponentama pretraživača i API-ja kako bi kompromitovali korisničke sisteme.
Korisnici Chrome-a trebali bi odmah primijeniti najnovije ažuriranje i biti oprezni u slučaju bilo kakvih znakova kompromisa.
Izvor: CyberSecurityNews