Η Google διόρθωσε το πρώτο σημαντικό ελάττωμα ασφαλείας του Chrome για το 2024 – οπότε ορίστε τι πρέπει να γνωρίζετε προτού ενημερώσετε
Η Google διόρθωσε την πρώτη, ενεργά αξιοποιημένη ευπάθεια του Chrome zero-day του έτους.
Το
ελάττωμα παρακολουθείται ως CVE-2024-0519 και επιτρέπει στους εισβολείς να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα ή να ξεκινήσουν επιθέσεις άρνησης υπηρεσίας. Το ελάττωμα μπορεί επίσης να συνδεθεί με άλλα τρωτά σημεία για την επίτευξη απομακρυσμένης εκτέλεσης κώδικα (RCE), ειπώθηκε.
“Η Google γνωρίζει τις αναφορές ότι υπάρχει εκμετάλλευση για το CVE-2024-0519 στη φύση”, δήλωσε ο γίγαντας του προγράμματος περιήγησης σε ένα
συμβουλευτικός
δημοσιεύθηκε νωρίτερα αυτή την εβδομάδα.
Χωρίς λεπτομέρειες – ακόμα
Η τελευταία έκδοση του προγράμματος περιήγησης είναι 120.0.6099.224/225 για Windows, 120.0.6099.234 για Mac και 120.0.6099.224 για Linux. Παρόλο
που
η Google συνήθως λέει ότι η διάθεση της
ενημέρωση
ς κώδικα στο κανάλι
Stable
Desktop
θα είναι σταδιακή, ήταν διαθέσιμη όταν προσπαθήσαμε να ενημερώσουμε το πρόγραμμα περιήγησης μόλις τώρα.
Ωστόσο, η ενημέρωση δεν ήταν αυτόματη και μας απαιτούσε να εμφανίσουμε το μενού Ρυθμίσεις και να κάνουμε σάρωση για ενημερώσεις.
Το CVE-2024-0519 περιγράφεται ως αδυναμία πρόσβασης μνήμης εκτός ορίων υψηλής σοβαρότητας στη μηχανή JavaScript του Chrome V8.
“Ο αναμενόμενος φρουρός μπορεί να μην βρίσκεται στη μνήμη εκτός ορίων, προκαλώντας την ανάγνωση υπερβολικών δεδομένων, οδηγώντας σε σφάλμα τμηματοποίησης ή υπερχείλιση buffer”, δήλωσε ο MITER. “Το προϊόν μπορεί να τροποποιήσει ένα ευρετήριο ή να εκτελέσει αριθμητική ένδειξη δείκτη που αναφέρεται σε μια θέση μνήμης που βρίσκεται εκτός των ορίων της προσωρινής μνήμης. Στη συνέχεια, μια επόμενη λειτουργία ανάγνωσης παράγει απροσδιόριστα ή απροσδόκητα αποτελέσματα.” Επιπλέον, η ευπάθεια μπορεί να χρησιμοποιηθεί για την αντιμετώπιση ASLR και παρόμοιων μηχανισμών προστασίας παράκαμψης και να συνδεθεί με άλλα ελαττώματα για το RCE.
Δεδομένης της σοβαρότητας της ευπάθειας, η Google αποφάσισε να μην κοινοποιήσει πρόσθετες λεπτομέρειες έως ότου ενημερωθεί η συντριπτική πλειονότητα των προγραμμάτων περιήγησης.
“Η πρόσβαση σε λεπτομέρειες σφαλμάτων και συνδέσμους μπορεί να παραμείνει περιορισμένη έως ότου η πλειοψηφία των χρηστών ενημερωθεί με μια επιδιόρθωση”, δήλωσε η Google. “Θα διατηρήσουμε επίσης περιορισμούς εάν το σφάλμα υπάρχει σε μια βιβλιοθήκη τρίτου μέρους από την οποία εξαρτώνται παρομοίως άλλα έργα, αλλά δεν έχουν ακόμη επιδιορθωθεί.”
Μέσω
BleepingComputer
VIA:
TechRadar.com/
