Google исправила свою первую активно эксплуатируемую уязвимость нулевого дня в Chrome в этом году.
Уязвимость отслеживается как CVE-2024-0519 и позволяет злоумышленникам получить доступ к конфиденциальным данным или запустить атаки типа «отказ в обслуживании». По его словам, этот недостаток также может быть связан с другими уязвимостями для обеспечения удаленного выполнения кода (RCE).
«Google известно о сообщениях о распространении эксплойта для CVE-2024-0519», — говорится в заявлении браузерного гиганта. консультативный Опубликовано ранее на этой неделе.
Подробностей пока нет
Последняя версия браузера — 120.0.6099.224/225 для Windows, 120.0.6099.234 для Mac и 120.0.6099.224 для Linux. Хотя Google обычно заявляет, что внедрение патча в канал Stable Desktop будет постепенным, оно было доступно как раз в тот момент, когда мы пытались обновить браузер.
Однако обновление не произошло автоматически, и нам пришлось зайти в меню «Настройки» и проверить наличие обновлений.
CVE-2024-0519 описывается как чрезвычайно серьезная уязвимость доступа к памяти за пределами границ в JavaScript-движке Chrome V8.
«Ожидаемый страж может находиться вне пределов памяти, что приводит к чтению чрезмерного количества данных, что приводит к ошибке сегментации или переполнению буфера», — сказал MITRE. «Продукт может изменять индекс или выполнять арифметические операции с указателями, указывающими на местоположение, находящееся за пределами буфера. Последующая операция чтения приводит к неопределенным или неожиданным результатам». Кроме того, эту уязвимость можно использовать для обхода ASLR и аналогичных механизмов обхода защиты и связывания ее с другими уязвимостями RCE.
Учитывая серьезность уязвимости, Google решил не раскрывать дальнейшие подробности до тех пор, пока подавляющее большинство браузеров не будут обновлены.
«Доступ к подробностям об ошибках и ссылкам может оставаться ограниченным до тех пор, пока большинство пользователей не узнают об исправлении», — заявили в Google. «Мы также сохраним ограничения, если ошибка возникнет в сторонней библиотеке, от которой аналогичным образом зависят другие проекты, но которая еще не исправлена».
Над ПипКомпьютер
Больше от TechRadar Pro
