Η Google διόρθωσε επτά ευπάθειες στο πρόγραμμα περιήγησης Chrome, συμπεριλαμβανομένων δύο zero-day, που εντοπίστηκαν και χρησιμοποιήθηκαν από ερευνητές κατά τη διάρκεια του hacking διαγωνισμού Pwn2Own Vancouver 2024.
Η πρώτη ευπάθεια παρακολουθείται ως CVE-2024-2887 και είναι ένα σοβαρό “type confusion weakness” στο WebAssembly (Wasm) open standard. Η ευπάθεια ανακαλύφθηκε από τον Manfred Paul την πρώτη ημέρα του Pwn2Own και χρησιμοποιήθηκε για απομακρυσμένη εκτέλεση κώδικα (συγκεκριμένα double-tap RCE), χρησιμοποιώντας μια δημιουργημένη σελίδα HTML. Στόχευσε τόσο τον Chrome όσο και τον Edge.
Δείτε επίσης: Η AnyCubic διορθώνει zero-day στους εκτυπωτές 3D
Η δεύτερη Chrome zero-day ευπάθεια παρακολουθείται ως CVE-2024-2886 και αξιοποιήθηκε από τον Seunghyun Lee του KAIST Hacking Lab κατά τη διάρκεια της δεύτερης ημέρας του διαγωνισμού CanSecWest Pwn2Own. Περιγράφεται ως αδυναμία use-after-free (UAF) στο WebCodecs API, που χρησιμοποιείται από web εφαρμογές για την κωδικοποίηση και αποκωδικοποίηση περιεχομένου ήχου και βίντεο. Η ευπάθεια επιτρέπει σε απομακρυσμένους εισβολείς να εκτελούν αυθαίρετες αναγνώσεις/εγγραφές μέσω δημιουργημένων σελίδων HTML.
Ο Lee χρησιμοποίησε επίσης το zero-day CVE-2024-2886 για να πραγματοποιήσει απομακρυσμένη εκτέλεση κώδικα σε Google Chrome και Microsoft Edge.
Η Google διόρθωσε τις δύο zero-day ευπάθειες στο Google Chrome stable channel, έκδοση 123.0.6312.86/.87 για Windows και Mac και 123.0.6312.86 για χρήστες Linux.
Δείτε επίσης: Η Apple διορθώνει δύο iOS zero-day ευπάθειες
Οι προμηθευτές έχουν στη διάθεσή τους 90 ημέρες για να εκδώσουν ενημερώσεις για ευπάθειες που παρουσιάζονται στο Pwn2Own. Μετά από αυτό το διάστημα, η Trend Micro’s Zero Day Initiative αποκαλύπτει δημόσια τις λεπτομέρειες σφαλμάτων, κάτι που θα μπορούσε να θέσει σε σοβαρό κίνδυνο τους χρήστες, δεδομένου ότι οι κυβερνοεγκληματίες
θα σπεύσουν να τα χρησιμοποιήσουν.Ο διαγωνισμός Pwn2Own 2024 Vancouver ολοκληρώθηκε στις 22 Μαρτίου, με τους ερευνητές ασφαλείας να κερδίζουν 1.132.500 $ για την επίδειξη 29 zero-day exploits και exploit chains. Ο Manfred Paul αναδείχθηκε ο φετινός νικητής με χρηματικά έπαθλα 202.500 $.
Οι ενημερώσεις της Google που διορθώνουν ευπάθειες του Chrome, είναι ζωτικής σημασίας για τους χρήστες. Βελτιώνουν την ασφάλεια των προσωπικών και επαγγελματικών δεδομένων των χρηστών, προστατεύοντάς τα από επιθέσεις κακόβουλου λογισμικού ή hacking.
Οι δύο Chrome zero-day ευπάθειες που ανακαλύφθηκαν κατά τη διάρκεια του διαγωνισμού Pwn2Own είναι ιδιαίτερα ανησυχητικές. Η διόρθωσή τους θα αποτρέψει την εκμετάλλευση τους από κακόβουλους χρήστες.
Δείτε επίσης: Microsoft: Κρίσιμη ευπάθεια στον Exchange Server χρησιμοποιήθηκε ως zero-day
Επιπλέον, η ενημέρωση ασφάλειας του Chrome αυξάνει την εμπιστοσύνη των χρηστών στον browser. Οι χρήστες μπορούν να είναι βέβαιοι ότι η Google λαμβάνει σοβαρά υπόψη την ασφάλειά τους και κάνει τα πάντα για να τη διασφαλίσει.
Τέλος, οι διορθώσεις αυτές διασφαλίζουν ότι ο Chrome παραμένει συμβατός με τις τελευταίες τεχνολογικές εξελίξεις και πρότυπα ασφαλείας. Αυτό είναι ιδιαίτερα σημαντικό για τη διατήρηση της αποτελεσματικότητας και της αξιοπιστίας του περιηγητή.
Πηγή: www.bleepingcomputer.com