Разработчики Google в очередной раз выпустили экстренное обновление для браузера Chrome, которое призвано исправить сразу несколько уязвимостей, включая 0-day баг, уже использованный в реальных атаках.
CVE-2024-7971: 0-day, который уже "гуляет"
Эта уязвимость, получившая идентификатор CVE-2024-7971, была обнаружена в JavaScript-движке V8 и относится к типу type confusion. По сути, она позволяет злоумышленникам обмануть механизм проверки типов данных в браузере, что может привести к непредсказуемым последствиям.
Специалисты Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC) первыми обнаружили эту опасную уязвимость. Пока подробностей о ее эксплуатации не публиковалось, но типичные последствия type confusion могут быть весьма серьезными: от сбоев в работе браузера до возможности запуска произвольного кода на устройстве пользователя.
Google уже выпустила обновление Chrome 128.0.6613.84/.85 для Windows и macOS, а также версию 128.0.6613.84 (Linux). В ближайшие недели оно будет распространено среди всех пользователей Chrome.
Не только 0-day: В Chrome 128 были устранены и другие уязвимости, связанные с безопасностью памяти. Среди них:
CVE-2024-7964: Уязвимость типа use-after-free в менеджере паролей Passwords. CVE-2024-7967: Out-of-bounds ошибка в графической библиотеке Skia. CVE-2024-7969: Переполнение буфера хипа в модуле шрифтов Fonts. CVE-2024-7970: Еще одна уязвимость типа use-after-free в менеджере Autofill.
За обнаружение этих проблем исследователи получили награды на общую сумму 95 000 долларов. Самую большую премию (36 000 долларов) получил анонимный специалист, который нашел ошибку в Passwords.
В 2024 году это уже девятая 0-day уязвимость, исправленная в Chrome. Такая частота может показаться тревожной, но это результат усилий разработчиков Google по поиску и устранению таких проблем.
С одной стороны, это демонстрирует, что Google активно работает над обеспечением безопасности своего браузера. С другой стороны, это говорит о том, что киберпреступники постоянно совершенствуют свои методы, ищу новые уязвимости, чтобы использовать их в своих целях.
Важно помнить, что регулярные обновления браузера - это ключ к защите от киберугроз. Установка обновлений Chrome позволяет защитить себя от известных уязвимостей, в том числе и от 0-day багов.