Η Google διόρθωσε μια νέα zero-day ευπάθεια στον Chrome browser (την πέμπτη για φέτος). Η ευπάθεια χρησιμοποιείται ήδη σε επιθέσεις.

Παρακολουθείται ως CVE-2024-4671 και είναι μια σοβαρή ευπάθεια “user after free” στο Visuals component, που χειρίζεται το rendering και την εμφάνιση περιεχομένου στο πρόγραμμα περιήγησης Chrome. Ανακαλύφθηκε και αναφέρθηκε στην Google από έναν ανώνυμο ερευνητή και η εταιρεία αποκάλυψε ότι χρησιμοποιείται ενεργά σε επιθέσεις.

Η εκμετάλλευση Use after-free ευπαθειών μπορεί να επιτρέψει τη διαρροή δεδομένων, την εκτέλεση κώδικα ή την πρόκληση κρασαρίσματος.

Δείτε επίσης: ArcaneDoor: Hackers χρησιμοποιούν Cisco zero-day για παραβίαση δικτύων

Η Google αντιμετώπισε τη zero-day ευπάθεια με την έκδοση 124.0.6367.201/.202 για Mac/Windows και 124.0.6367.201 για Linux. Οι χρήστες θα λάβουν τις ενημερώσεις τις επόμενες ημέρες/εβδομάδες. Για τους χρήστες του καναλιού «Extended Stable», οι διορθώσεις θα είναι διαθέσιμες στην έκδοση 124.0.6367.201 για Mac και Windows.

Ο Google Chrome browser ενημερώνεται αυτόματα όταν κυκλοφορεί μια ενημέρωση ασφαλείας. Ωστόσο, αν έχετε αμφιβολίες, μπορείτε να ελέγξετε την έκδοση μεταβαίνοντας στις Ρυθμίσεις > Σχετικά με το Chrome. Κάνετε κλικ στο κουμπί “Relaunch” για να εφαρμόσετε την ενημέρωση.

Google Chrome: Διορθώνεται η πέμπτη zero-day ευπάθεια για φέτος

Αυτή είναι η πέμπτη Chrome zero-day ευπάθεια που διορθώνεται από την αρχή του χρόνου. Τρεις άλλες ανακαλύφθηκαν κατά τη διάρκεια του hacking διαγωνισμού Pwn2Own στο Βανκούβερ, τον Μάρτιο του 2024.

Δείτε επίσης: CrushFTP: Ζητά άμεση επιδιόρθωση του zero-day

Αναλυτικά, οι ευπάθειες που έχουν διορθωθεί:

CVE-2024-0519: Μια ευπάθεια “out-of-bounds memory access”, υψηλής σοβαρότητας, που εντοπίστηκε στο Chrome V8 JavaScript engine, και επέτρεπε σε απομακρυσμένους εισβολείς να εκμεταλλεύονται heap corruption μέσω μιας ειδικά κατασκευασμένης σελίδας HTML. Το αποτέλεσμα είναι η μη εξουσιοδοτημένη πρόσβαση

σε ευαίσθητες πληροφορίες.

CVE-2024-2887: Μια ευπάθεια type confusion υψηλής σοβαρότητας στο WebAssembly (Wasm) standard. Επιτρέπει απομακρυσμένη εκτέλεση κώδικα (RCE) αξιοποιώντας μια δημιουργημένη σελίδα HTML.

CVE-2024-2886: Μια ευπάθεια use-after-free στο WebCodecs API που χρησιμοποιείται από web εφαρμογές για την κωδικοποίηση και την αποκωδικοποίηση ήχου και βίντεο. Οι επιτιθέμενοι το εκμεταλλεύτηκαν για απομακρυσμένη εκτέλεση κώδικα.

CVE-2024-3159: Μια ευπάθεια υψηλής σοβαρότητας στο Chrome V8 JavaScript engine. Οι απομακρυσμένοι εισβολείς εκμεταλλεύτηκαν αυτό το ελάττωμα χρησιμοποιώντας ειδικά κατασκευασμένες σελίδες HTML για να αποκτήσουν πρόσβαση σε δεδομένα.

Δείτε επίσης: Η Palo Alto Networks διορθώνει backdoor firewall zero-day

Οι παραπάνω Chrome zero-day ευπάθειες είναι ιδιαίτερα ανησυχητικές. Η διόρθωσή τους αποτρέπει την εκμετάλλευσή τους από κακόβουλους χρήστες.

Επιπλέον, η ενημέρωση ασφάλειας του Chrome αυξάνει την εμπιστοσύνη των χρηστών στον browser. Οι χρήστες μπορούν να είναι βέβαιοι ότι η Google λαμβάνει σοβαρά υπόψη την ασφάλειά τους και κάνει τα πάντα για να τη διασφαλίσει.

Τέλος, οι διορθώσεις αυτές διασφαλίζουν ότι ο Chrome παραμένει συμβατός με τις τελευταίες τεχνολογικές εξελίξεις και πρότυπα ασφαλείας. Αυτό είναι ιδιαίτερα σημαντικό για τη διατήρηση της αποτελεσματικότητας και της αξιοπιστίας του περιηγητή.

Πηγή: www.bleepingcomputer.com