Η Google κυκλοφόρησε ενημερώσεις ασφαλείας για να διορθώσει την πρώτη ευπάθεια μηδενικής ημέρας του Chrome που αξιοποιήθηκε στη φύση από την αρχή του έτους.
“Η Google γνωρίζει τις αναφορές ότι υπάρχει εκμετάλλευση για το CVE-2024-0519 στη φύση”, δήλωσε η εταιρεία σε μια
συμβουλευτική για την ασφάλεια
δημοσιεύθηκε την Τρίτη.
Η εταιρεία διόρθωσε το zero-day για τους χρήστες στο κανάλι
Stable
Desktop
, με τις ενημερωμένες
εκδόσεις
να κυκλοφορούν παγκοσμίως σε χρήστες Windows (120.0.6099.224/225), Mac (120.0.6099.234) και Linux (120.0.6099.224) λιγότερο από μία εβδομάδα μετά την αναφορά στην Google.
Παρόλο που η Google λέει ότι η
ενημέρωση
ασφαλείας μπορεί να πάρει μέρες ή εβδομάδες για να φτάσει σε όλους τους επηρεαζόμενους χρήστες, ήταν διαθέσιμη
αμέσως
όταν το BleepingComputer έλεγξε για ενημερώσεις σήμερα.
Όσοι προτιμούν να μην ενημερώνουν το πρόγραμμα περιήγησής τους με μη αυτόματο τρόπο μπορούν να βασίζονται στο Chrome για να ελέγχει αυτόματα για νέες ενημερώσεις και να τις εγκαταστήσει μετά την επόμενη εκκίνηση.
Η ευπάθεια μηδενικής ημέρας υψηλής σοβαρότητας (
CVE-2024-0519
) οφείλεται σε αδυναμία πρόσβασης στη μνήμη εκτός ορίων υψηλής σοβαρότητας στη μηχανή JavaScript του Chrome V8, την οποία οι εισβολείς μπορούν να εκμεταλλευτούν για να αποκτήσουν πρόσβαση σε δεδομένα πέρα από την προσωρινή μνήμη, παρέχοντάς τους πρόσβαση σε ευαίσθητες πληροφορίες ή προκαλώντας συντριβή.
“Ο αναμενόμενος φρουρός μπορεί να μην βρίσκεται στη μνήμη εκτός ορίων, προκαλώντας την ανάγνωση υπερβολικών δεδομένων, οδηγώντας σε σφάλμα τμηματοποίησης ή υπερχείλιση buffer,” MITER
εξηγεί
. “Το προϊόν μπορεί να τροποποιήσει ένα ευρετήριο ή να εκτελέσει αριθμητική ένδειξη δείκτη που αναφέρεται σε μια θέση μνήμης που βρίσκεται εκτός των ορίων της προσωρινής μνήμης. Στη συνέχεια, μια επόμενη λειτουργία ανάγνωσης παράγει απροσδιόριστα ή απροσδόκητα αποτελέσματα.”
Εκτός από τη μη εξουσιοδοτημένη πρόσβαση σε μνήμη εκτός ορίων, το CVE-2024-0519 θα μπορούσε επίσης να αξιοποιηθεί για να παρακάμψει μηχανισμούς προστασίας όπως το ASLR για να διευκολύνει την επίτευξη της εκτέλεσης κώδικα μέσω μιας άλλης αδυναμίας.
Ενώ η Google γνωρίζει για CVE-2024-0519 zero-day exploits που χρησιμοποιούνται σε επιθέσεις, η εταιρεία δεν έχει ακόμη κοινοποιήσει περαιτέρω λεπτομέρειες σχετικά με αυτά τα περιστατικά.
“Η πρόσβαση σε λεπτομέρειες σφαλμάτων και συνδέσμους μπορεί να παραμείνει περιορισμένη έως ότου η πλειοψηφία των χρηστών ενημερωθεί με μια επιδιόρθωση”, δήλωσε η Google. “Θα διατηρήσουμε επίσης περιορισμούς εάν το σφάλμα υπάρχει σε μια βιβλιοθήκη τρίτου μέρους από την οποία εξαρτώνται παρομοίως άλλα έργα, αλλά δεν έχουν ακόμη επιδιορθωθεί.”
Σήμερα, η Google επιδιορθώνει επίσης ελαττώματα εγγραφής εκτός ορίων V8 (CVE-2024-0517) και σύγχυσης τύπων (CVE-2024-0518), επιτρέποντας την αυθαίρετη εκτέλεση κώδικα σε παραβιασμένες συσκευές.
Πέρυσι, η Google διόρθωσε οκτώ σφάλματα Chrome zero-day που εκμεταλλεύτηκαν σε επιθέσεις που παρακολουθήθηκαν ως CVE-2023-7024, CVE-2023-6345, CVE-2023-5217, CVE-2023-4863, CVE-2023-3079, CVE-202 4762, CVE-2023-2136 και CVE-2023-2033.
Ορισμένα από αυτά, όπως το CVE-2023-4762, επισημάνθηκαν ως zero-days που χρησιμοποιούνται για την ανάπτυξη spyware σε ευάλωτες συσκευές που ανήκουν σε χρήστες υψηλού κινδύνου, συμπεριλαμβανομένων δημοσιογράφων, πολιτικών της αντιπολίτευσης και αντιφρονούντων, αρκετές εβδομάδες μετά τη δημοσίευση ενημερώσεων κώδικα.
VIA:
bleepingcomputer.com
