Google je u ponedjeljak isporučio hitne ispravke kako bi riješio novu grešku nultog dana u Chrome web pretraživaču koji je bio pod aktivnom eksploatacijom u divljini.
Ranjivost visoke ozbiljnosti, praćena kao CVE-2024-4761 , je greška pisanja van granica koja utiče na V8 JavaScript i WebAssembly motor. Anonimno je prijavljeno 9. maja 2024.
Zlonamjerni hakeri obično mogu iskoristiti greške u pisanju izvan granica kako bi oštetili podatke, ili izazvali pad ili izvršavanje proizvoljnog koda na kompromitovanim hostovima.
“Google je svjestan da eksploatacija za CVE-2024-4761 postoji u divljini”, rekao je tehnološki gigant .
Dodatni detalji o prirodi napada su zadržani kako bi se spriječilo više hakeri da naoružaju grešku.
Otkrivanje dolazi samo nekoliko dana nakon što je kompanija zakrpila CVE-2024-4671 , ranjivost u komponenti Visuals bez upotrebe koja je takođe korištena u napadima u stvarnom svijetu.
Sa najnovijim popravkom, Google se bavio ukupno šest nula dana od početka godine, od kojih su tri demonstrirana na hakerskom takmičenju Pwn2Own u Vancouveru u martu –
- CVE-2024-0519 – Pristup memoriji izvan granica u V8 (aktivno iskorištavan)
- CVE-2024-2886 – Besplatno korištenje u WebCodecima
- CVE-2024-2887 – Zbrka ukucaj u WebAssembly
- CVE-2024-3159 – Pristup memoriji izvan granica u V8
- CVE-2024-4671 – Bez upotrebe u vizualima (aktivno se koristi)
Korisnicima se preporučuje da nadograde na Chrome verziju 124.0.6367.207/.208 za Windows i macOS i verziju 124.0.6367.207 za Linux kako bi ublažili potencijalne prijetnje.
Korisnicima pretraživača zasnovanih na Chromiumu, kao što su Microsoft Edge, Brave, Opera i Vivaldi, takođe se savetuje da primene popravke čim postanu dostupne.
Izvor:The Hacker News