Новости Движок V8 Chrome открывает доступ к данным пользователей

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Google ставит мат уязвимостям в десятый раз.


ekgsf52p6c6ng9kqv3xmpweg4po0bdia.jpg


Google объявила о выпуске обновления, закрывающего десятую уязвимость нулевого дня, активно эксплуатировавшуюся злоумышленниками или белыми хакерами в рамках соревнований в 2024 году.

Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 8.8) представляет собой ошибку в реализации движка V8 для JavaScript в браузере Google Chrome . Ошибка позволяла удалённому злоумышленнику использовать специально созданную HTML-страницу для повреждения кучи ( heap corruption ), что потенциально открывало доступ к выполнению вредоносного кода на целевом устройстве.

Информация об уязвимости была включена в Для просмотра ссылки Войди или Зарегистрируйся Google, где ранее Для просмотра ссылки Войди или Зарегистрируйся о закрытии другой уязвимости нулевого дня Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 8.8), связанной с путаницей типов ( type confusion ) в том же движке V8. В новой записи Google отметила, что компания знает о наличии эксплойтов для CVE-2024-7971 и CVE-2024-7965.

Обе уязвимости были устранены в версии Chrome 128.0.6613.84/.85 для Windows и macOS, а также в версии 128.0.6613.84 для пользователей Linux. Обновления стали доступны всем пользователям стабильной версии для ПК.

Несмотря на автоматическое обновление браузера при выпуске испарвлений, пользователи могут ускорить процесс установки вручную, открыв меню Chrome > Справка > О Google Chrome, дождаться завершения обновления и нажать кнопку «Перезапустить», чтобы применить изменения.

Хотя Google подтвердила наличие уязвимостей CVE-2024-7971 и CVE-2024-7965, компания пока не предоставила дополнительных подробностей о характере атак, в которых они использовались. Google также уточнила, что доступ к деталям ошибок и соответствующим ссылкам может оставаться ограниченным до тех пор, пока большинство пользователей не обновят свои системы с установленным исправлением. Вдобавок, ограничения могут сохраняться, если уязвимость присутствует в сторонней библиотеке, от которой зависят другие проекты и которая пока не была исправлена.
 
Источник новости
www.securitylab.ru

Похожие темы