Новости Обновите браузер: хакеры помогли Google исправить 0day в Chrome

[NewsMaker]

Очередная ошибка Chrome стоила специалистам $42 500.

---

---

Google устранил критическую уязвимость в браузере Chrome, которая была обнаружена в ходе соревнования Pwn2Own 2024 в Ванкувере.

Уязвимость Для просмотра ссылки Войди или Зарегистрируйся связана с ошибкой чтения за пределами границ памяти ( Out-of-bounds ) в движке JavaScript V8 и может привести к несанкционированному доступу к данным или сбоям в работе браузера.

Удаленный злоумышленник может воспользоваться уязвимостью, используя созданные HTML-страницы, чтобы получить доступ к данным за пределами буфера памяти посредством повреждения кучи ( heap corruption ), что может раскрыть конфиденциальную информацию или вызвать сбой.

Исследователи из Palo Alto Networks Эдуард Бошин и Тао Ян Для просмотра ссылки Войди или Зарегистрируйся эксплуатацию уязвимости на конкурсе, успешно обойдя защиту движка V8 с помощью сложной атаки, что позволило им выполнить произвольный код в браузерах Google Chrome и Microsoft Edge. За свою работу специалисты получили награду в размере $42 500.

Google оперативно Для просмотра ссылки Войди или Зарегистрируйся для стабильной версии Google Chrome (версии 123.0.6312.105/.106/.107 для Windows и Mac, и 123.0.6312.105 для Linux), которое будет распространяться по всему миру в ближайшие дни.

Ранее Google Для просмотра ссылки Войди или Зарегистрируйся в том числе активно эксплуатируемую уязвимость нулевого дня ( zero-day ). В первый день соревнования Pwn2Own в Ванкувере в 2024 году Для просмотра ссылки Войди или Зарегистрируйся в Windows 11, автомобилях Tesla и Ubuntu. За свои находки специалисты получили награды на общую сумму $732 500 и автомобиль Tesla Model 3. После демонстрации уязвимостей на Pwn2Own производителям даётся 90 дней на создание и выпуск исправлений безопасности для всех обнаруженных недостатков, прежде чем они будут опубликованы.